I ricercatori dell’Università di Tel Aviv hanno descritto un nuovo attacco HalluSquatting, che sfrutta le allucinazioni degli agenti IA. Il problema è che i modelli possono inventare con sicurezza nomi di repository, librerie o strumenti quando non conoscono l’indirizzo esatto di un progetto. Per gli agenti autorizzati a installare ed eseguire codice, un errore del genere può diventare rapidamente un rischio reale per il dispositivo dell’utente.
Lo schema dell’attacco ruota attorno alla prevedibilità di queste allucinazioni. Quando compare un nuovo repository popolare che non è ancora nei dati di addestramento del modello, il bot può «indovinare» un indirizzo GitHub simile: confondere il proprietario del progetto, ripetere il nome dello strumento nel nome dell’autore o inserire semplicemente un refuso. Un aggressore registra in anticipo un repository con quella variante e vi carica codice malevolo, facendolo sembrare il progetto originale.
Quando l’utente chiede a un agente IA di installare o avviare lo strumento richiesto, il modello può scegliere il repository falso invece di quello reale. L’agente scarica quindi ed esegue codice di terzi con i permessi concessi dall’utente. Le conseguenze possono essere pesanti: furto di dati e chiavi di accesso, installazione di malware o uso della macchina compromessa per ulteriori attacchi.
Secondo gli autori, i modelli moderni sbagliano particolarmente spesso con i progetti nuovi. Per i repository trending del 2025, il tasso medio di errore nell’identificazione del proprietario del progetto ha raggiunto circa il 92%, arrivando al 100% in alcuni scenari con skill agentiche. Gli strumenti per programmare fanno meglio, ma restano preoccupanti: in Cursor, Gemini CLI e Copilot, il successo dell’attacco è stato stimato al 20–35%, mentre OpenClaw e le sue varianti potevano avvicinarsi all’80–100%.
Il consiglio principale dei ricercatori è netto: non concedere ampi permessi agli agenti IA e non lasciarli installare codice senza verificare la fonte. I bot dovrebbero essere istruiti in modo esplicito a cercare il repository ufficiale, controllare i link e usare contesto aggiuntivo. Ma finché molti utenti, per comodità, eseguono agenti con accesso a file, chiavi API e account di servizio, HalluSquatting mostra una debolezza di fondo di questo approccio.