La notizia in sintesi
- HalluSquatting sfrutta indirizzi inventati dagli assistenti di coding per diffondere comandi malevoli.
- La ricerca coinvolge Università di Tel Aviv, Technion e Intuit.
- I modelli possono sbagliare fino all’85% o al 100% su risorse recenti.
- La difesa immediata resta il controllo manuale di repository e pacchetti suggeriti.
(Riassunto generato con AI)
HalluSquatting cambia il rischio degli assistenti AI
HalluSquatting è la nuova tecnica descritta da un gruppo di ricercatori della Università di Tel Aviv, del Technion e di Intuit che trasforma un limite noto degli assistenti di coding in un vettore d’attacco scalabile. Nelle ultime ore lo studio ha evidenziato come gli indirizzi errati “allucinati” dai modelli linguistici possano essere previsti, registrati dagli attaccanti e riempiti di istruzioni malevole.
Il punto centrale riguarda gli agenti AI che recuperano codice, repository o pacchetti durante il normale lavoro. Se l’assistente indica una risorsa sbagliata e l’utente gli consente di eseguirla, il modello può installare codice ostile con privilegi elevati. Per questo la ricerca segnala un salto di qualità: il prompt injection, finora limitato da una diffusione poco scalabile, può diventare una base per botnet estese, campagne ransomware e infezioni su larga scala.
Il lavoro porta la firma di Aya Spira, Elad Feldman, Avishai Wool e Ben Nassi dell’Università di Tel Aviv, di Stav Cohen del Technion e di Ron Bitton di Intuit. Il perché del rischio, secondo lo studio, è strutturale: i modelli non distinguono sempre tra istruzioni legittime e contenuti manipolati e, soprattutto, tendono a non ammettere di non conoscere l’indirizzo corretto di una risorsa.
Come funziona l’attacco e perché scala
La tecnica nasce da un difetto specifico degli assistenti alla programmazione: quando devono recuperare una risorsa da un repository o da un registro, possono inventare un percorso plausibile ma inesatto. I ricercatori hanno osservato che questi errori non sono casuali, ma seguono schemi ricorrenti e prevedibili. L’attaccante può quindi registrare in anticipo quei nomi e inserirvi comandi nascosti, per esempio in un file readme o direttamente nel codice.
Il meccanismo è particolarmente insidioso perché sfrutta il comportamento standard degli strumenti. Quando l’utente chiede di clonare un repository popolare e recente, il modello indica la posizione sbagliata fino all’85% delle volte; se la richiesta riguarda una “skill”, cioè un pacchetto di istruzioni e script per ampliare le capacità dell’agente, le allucinazioni possono arrivare al 100%.
Anche il fattore temporale pesa molto. Nei sei modelli testati, i repository pubblicati prima del 2019 vengono risolti correttamente quasi sempre, con un tasso medio di allucinazione dello 0,9%. Per le risorse del 2025, invece, il dato sale al 92,4%. La spiegazione fornita dai ricercatori è chiara: le risorse nuove non compaiono nell’addestramento, ma possono raccogliere molti download in poco tempo, diventando bersagli ideali.
Lo schema più sfruttato è auto-referenziale: il modello produce percorsi del tipo nome-repo/nome-repo, trattando il nome del progetto come se fosse anche quello del proprietario. Secondo lo studio, il problema compare a livello di base in diverse famiglie di modelli, da Gemini a GPT fino a Sonnet e Opus. Per i ricercatori non serve neppure “sondare” a fondo il modello: il limite sarebbe radicato nelle distorsioni dell’addestramento.
Tra gli strumenti risultati vulnerabili figurano nove assistenti diffusi, fra cui Cursor, Cursor CLI, Gemini CLI, GitHub Copilot, Windsurf, Cline e la famiglia OpenClaw, NanoClaw e ZeroClaw. Il confronto più vicino è con il typosquatting, ma qui non si intercetta l’errore umano di digitazione: si sfrutta l’errore sistematico del modello.
La vera conseguenza è operativa
L’aspetto più rilevante non è solo tecnico, ma operativo: la risoluzione automatica delle risorse diventa essa stessa superficie d’attacco. Gli aggressori possono individuare i nomi più probabili, registrarli e attendere che gli agenti li richiamino nel flusso di lavoro. In questo scenario, l’automazione promessa dagli assistenti AI si riduce, perché la difesa più immediata resta una sola: verificare manualmente la posizione di ogni repository o pacchetto prima dell’esecuzione.
È una contromisura semplice, ma segnala un limite concreto dell’uso autonomo degli agenti AI nello sviluppo software e nella gestione di sistemi.
FAQ
Che cos’è HalluSquatting?
Sì: è una tecnica che sfrutta gli indirizzi errati inventati dagli assistenti di coding per veicolare istruzioni malevole.
Perché è più pericoloso del prompt injection classico?
Sì: perché rende scalabile l’attacco, permettendo di colpire molti agenti tramite risorse registrate in anticipo dagli aggressori.
Quali strumenti sono risultati vulnerabili?
Sì: lo studio cita Cursor, Cursor CLI, Gemini CLI, GitHub Copilot, Windsurf, Cline, OpenClaw, NanoClaw e ZeroClaw.
Quanto sbagliano i modelli sulle risorse recenti?
Sì: fino all’85% sui repository popolari e recenti, fino al 100% sulle skill, con media del 92,4% per risorse del 2025.
Come è stato verificato questo contenuto?
Sì: nasce da un’analisi approfondita e da una verifica incrociata della nostra Redazione su numerose fonti, tra cui Hardware Upgrade.




