Uma nova técnica de ataque explora uma limitação dos modelos de IA e pode comprometer milhares de computadores.
Segundo a Ars Technica, a descoberta envolve nove ferramentas populares usadas por programadores e mostra como uma característica dos assistentes de IA pode ser explorada por criminosos.

Quando a IA inventa um caminho
O ataque recebeu o nome de HalluSquatting e aproveita uma característica conhecida dos grandes modelos de linguagem (LLMs): quando não conseguem localizar um projeto, eles podem inventar um endereço em vez de admitir que não sabem onde ele está.
Parece apenas um detalhe técnico. Mas é justamente aí que o golpe começa. Os criminosos registram esses endereços antes, inserem códigos maliciosos e esperam que um assistente de programação tente acessá-los automaticamente.
Segundo a pesquisa, a técnica funciona contra ferramentas bastante conhecidas, como:
- Cursor e Cursor CLI;
- Gemini CLI;
- GitHub Copilot;
- Windsurf, Cline, OpenClaw, ZeroClaw e NanoClaw.

Um ataque que cresce sozinho
A maioria das injeções de prompt depende de uma ação direcionada contra cada vítima. O HalluSquatting muda completamente essa lógica.
São os próprios agentes de IA que procuram projetos durante tarefas rotineiras. Segundo os pesquisadores, “a natureza escalável do ataque permite que o invasor comprometa um grande número de usuários com esforço mínimo”.
Se o desenvolvedor solicitar a instalação de um projeto recém-publicado e o sistema errar o endereço, poderá acabar acessando justamente a página preparada pelo criminoso.
Projetos novos são o alvo preferido
Os testes mostraram que os LLMs localizam corretamente a maioria dos projetos publicados antes de 2019. Já entre os lançamentos de 2025, a taxa média de alucinação chega a 92,4%.
Leia mais:
- Claude Code vira alvo de alerta de segurança na China; entenda
- EUA: agência usa IA da Anthropic para encontrar falhas em sistemas do governo
- Nova IA chinesa rivaliza com Mythos da Anthropic em testes de cibersegurança; saiba qual
Como esses projetos ainda não fazem parte do treinamento dos modelos, aumentam as chances de a IA criar endereços inexistentes. A equipe também identificou padrões previsíveis nessas respostas, o que facilita o registro antecipado desses nomes por invasores.

Uma simples alucinação pode abrir a porta
Se o código malicioso for executado, o computador poderá passar a integrar uma rede controlada remotamente pelos criminosos.
Os pesquisadores apontam riscos como:
- criação de botnets;
- ataques de ransomware;
- ataques distribuídos de negação de serviço (DDoS);
- mineração ilegal de criptomoedas.
Michael Bargury, CTO da Zenity, resumiu a preocupação: “É uma pesquisa muito interessante, e a ameaça é muito real.” Já Johann Rehberger afirmou que a forma como os LLMs localizam projetos pode se transformar em um novo vetor de ataque.
A pesquisa reforça que assistentes de IA ainda precisam de supervisão humana. Antes de instalar projetos, bibliotecas ou componentes sugeridos automaticamente, vale confirmar se a origem realmente corresponde ao recurso desejado. Esse cuidado simples pode evitar que uma alucinação do modelo se transforme em uma brecha de segurança.
O post Nove ferramentas de IA estão vulneráveis a novo tipo de ataque apareceu primeiro em Olhar Digital.