// 2 ZERO-DAY · 4 CVE · 4 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Ricercatori hanno dimostrato che HalluSquatting trasforma le allucinazioni prevedibili di 9 tool AI in un vector di installazione botnet, con tassi di successo fino

I ricercatori di Tel Aviv University, Technion e Intuit hanno dimostrato che nove strumenti AI per il coding installano malware botnet quando gli viene richiesto software che non esiste. L'attacco, denominato HalluSquatting, sfrutta una proprietà finora sottovalutata degli LLM: le allucinazioni non sono casuali, ma consistenti e predicibili. Aya Spira, Elad Feldman, Avishai Wool, Ben Nassi, Stav Cohen e Ron Bitton hanno presentato i risultati il 7 luglio 2026, con disclosure responsabile effettuata in anticipo per impedire replicazione immediata.

Punti chiave
  • Nove assistenti AI — tra cui Cursor, Gemini CLI, GitHub Copilot e Windsurf — sono risultati vulnerabili a HalluSquatting, con tassi di hallucination fino all'85% su repository trending e 100% su installazioni di skill.
  • Le allucinazioni sono consistenti tra modelli diversi: gli stessi nomi di repository inesistenti vengono generati ripetutamente, rendendo l'attacco predicibile e scalabile senza targeting individuale.
  • Il pattern più sfruttabile è "self-referential" (owner/repo-name identici), che non richiede alcun probing del modello e funziona su più strumenti senza adattamento.
  • Il payload arriva come testo letto dall'AI stessa, non come exploit di rete: una volta fetchato, il contenuto malevolo induce l'agente a eseguire comandi tramite il terminale integrato, con i propri permessi.

Il meccanismo a quattro fasi: da nome inventato a botnet operativa

HalluSquatting non è un malware tradizionale né un exploit di rete. Il vettore è architetturale: l'agente AI confonde il nome di un repository che l'utente richiede con l'azione di scaricarlo ed eseguirlo. Il meccanismo si articola in quattro fasi. L'utente chiede un pacchetto o una skill; l'assistente allucina un nome plausibile ma inesistente; l'attaccante ha già registrato quel nome su un repository pubblico o uno store di skill; l'AI scarica il contenuto, legge le istruzioni malevole e le esegue attraverso il terminato integrato.

Il punto di escalation è proprio questo terminale. L'iniezione è di tipo indiretto: il payload non arriva dal prompt dell'utente, ma dal contenuto che l'agente stesso recupera autonomamente. Come ha sintetizzato The Hacker News, "l'AI è il furgone della consegna, non il carico". Una volta eseguito, lo script può aggregare le macchine compromesse in una botnet per attività di mining o DDoS, secondo quanto riportato nel paper citato da Ars Technica.

Perché le allucinazioni diventano prevedibili

La scoperta cruciale — e quella che trasforma un errore di linguaggio in una vulnerabilità di sicurezza — è la consistenza cross-modello. Secondo quanto documentato da The Hacker News, "l'errore era consistente: con diverse formulazioni e tra modelli di aziende diverse, l'assistente raggiungeva lo stesso nome sbagliato". Questa predicibilità permette all'attaccante di fare squatting prima ancora che la vittima effettui la richiesta, eliminando la necessità di targeting individuale.

Ars Technica ha evidenziato una correlazione temporale netta: per repository pubblicati prima del 2019, il tasso medio di hallucination è solo lo 0,9%; per repository del 2025 sale al 92,4%. Il modello allucina di più quando il training data è più vecchio della richiesta, ovvero esattamente nel caso di software "trending" che l'utente cerca ma il sistema non conosce. Il pattern "self-referential" — dove il nome del repository viene trattato come owner, generando coppie del tipo repo-name/repo-name — è il più sfruttabile perché richiede zero conoscenza preliminare del modello e funziona su più piattaforme senza personalizzazione.

"Attacks always get better; they never get worse." — Aya Spira et al., citato da The Hacker News

Il contesto operativo: da Phantom Squatting alla esecuzione di codice

HalluSquatting non emerge dal vuoto. Unit 42 di Palo Alto Networks ha documentato nel 2025 una classe di minaccia correlata, il Phantom Squatting, con circa 250.000 domini allucinati non registrati e una finestra di predizione di 18-51 giorni prima che gli attaccanti li acquistassero. Nel caso Montana Empire, il tempo di anticipo è stato di 23 giorni. Tuttavia, Phantom Squatting si limitava a domini web; HalluSquatting eleva il concetto all'esecuzione codice su macchine locali, tramite agenti autonomi con accesso a shell e permessi di sistema.

Un dato di contesto rende l'esposizione immediata. Nel gennaio 2026, Charlie Eriksen di Aikido Security ha trovato il pacchetto npm react-codeshift — inventato da un'AI e inesistente nei repository ufficiali — in 237 progetti reali. A giugno 2026, Trail of Bits ha dimostrato che skill malevoli superano i controlli degli store in meno di un'ora. La supply chain AI-to-AI è già attiva; HalluSquatting ne sfrutta la logica senza necessità di compromettere infrastrutture esistenti.

Cosa fare adesso

  • Verificare manualmente il nome e la provenienza di ogni repository o skill prima di autorizzare l'installazione, specialmente quando l'assistente AI suggerisce pacchetti non esplicitamente richiesti dall'utente.
  • Disabilitare le modalità "auto-run" o "skip-permissions" negli strumenti che le supportano, in modo che l'esecuzione di codice richieda conferma esplicita.
  • Isolare gli ambienti di sviluppo dove gli agenti AI operano con permessi elevati, limitando l'accesso a risorse di rete e storage condivisi.
  • Monitorare i log di esecuzione dei terminali integrati negli assistenti AI, con particolare attenzione a fetch verso repository non whitelisted o domini recentemente registrati.

Una falla strutturale che sfugge alle patch tradizionali

Il problema centrale di HalluSquatting è che non risiede in un singolo bug correttibile con una patch. L'assistente AI deve generare nomi plausibili per funzionare; deve integrarsi con repository esterni per essere utile; deve eseguire codice per svolgere il compito richiesto. Ogni singola funzione è legittima; la composizione è letale. Come ha analizzato Bruce Schneier nel 2024 per il data-control path insecurity, la sovrapposizione tra percorso dati e percorso controllo è una debolezza architetturale, non un errore implementativo.

I ricercatori hanno proposto mitigazioni che includono verifica umana sui nomi generati, whitelisting di repository conosciuti e tecniche di "planner training" per ridurre la frequenza delle allucinazioni. Tuttavia, il brief non documenta se i vendor abbiano già distribuito update specifici né quali strumenti abbiano implementato queste contromisure. Non emergono sovrapposizioni infrastrutturali che colleghino l'attacco a operatori noti allo stato attuale.

Domande frequenti

L'attacco richiede che la vittima installi software manualmente?

No. L'utente non deve riconoscere né approvare esplicitamente il pacchetto allucinato: l'agente AI lo cerca, lo scarica e lo esegue autonomamente, spesso senza interruzione del flusso di lavoro.

Perché il training data degli LLM ha una data di cutoff. I repository recenti non sono nei dati di addestramento, quindi il modello deve inventare un nome plausibile; per quelli storici, la conoscenza è solida e l'allucination crolla allo 0,9%.

I nove tool testati sono tutti ugualmente vulnerabili?

I tassi di successo variano, ma il pattern self-referential ha funzionato su tutti e nove senza adattamento specifico. La scalabilità dell'attacco deriva proprio da questa portabilità cross-piattaforma.

La linea di difesa tradizionale — firewall, EDR, segmentazione di rete — non intercetta un payload che arriva come testo letto e ri-eseguito dall'AI stessa. HalluSquatting sposta il perimetro di attacco dal server all'agente, e dall'agente alla fiducia cieca nel nome che ha generato.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. schneier.com
  3. arstechnica.com
  4. prismnews.com
  5. news.shield53.com
  6. unit42.paloaltonetworks.com
  7. thehackernews.uk