2 min de lectura

Herramientas de codificación con IA pueden ser secuestradas para crear botnets

Investigadores dicen que GitHub Copilot, Gemini CLI y OpenClaw pueden ser abusados mediante una técnica llamada HalluSquatting para desencadenar ejecución remota de código.

Imagen: TechRadar

Botnet

Investigadores de Intuit, el Technion y la Universidad de Tel Aviv dicen que herramientas populares de codificación y agentes con IA pueden ser manipuladas para obtener recursos maliciosos y, en algunos casos, ejecutar código que podría ayudar a construir botnets masivos.

El ataque se llama HalluSquatting, abreviatura de "adversarial hallucination squatting". Funciona explotando la tendencia de un LLM a alucinar identificadores de repositorios o recursos. En lugar de que un usuario escriba mal una URL, como en el typosquatting, es el propio modelo el que apunta a un recurso inexistente o incorrecto. Un atacante puede registrar de forma preventiva ese destino alucinado y plantar allí prompts adversarios.

Según los investigadores, eso puede usarse para lograr ejecución remota de herramientas y ejecución remota de código a gran escala.

Recomendado

El hackeo a Suno expuso la cantidad de música que raspó

Al registrar de forma preventiva recursos alucinados —una técnica que llamamos adversarial hallucination squatting (HalluSquatting)— demostramos la ejecución remota de herramientas y la ejecución remota de código a escala en una variedad de aplicaciones de LLM con capacidades de agente, lo que podría explotarse para establecer una botnet.

Investigadores, resumen de la introducción del artículo

Herramientas afectadas en las pruebas de HalluSquatting

El artículo dice que la técnica se probó contra una serie de herramientas, que incluyen:

  • GitHub Copilot
  • Gemini CLI
  • OpenClaw
  • ZeroClaw
  • NanoClaw
  • Cursor
  • Cursor CLI
  • Windsurf
  • Cline

Los investigadores describen esto como una mezcla de ataques previos basados en pull contra LLM y ataques push más tradicionales, como la inyección de código. Una vez que se identifica y ocupa un recurso probablemente alucinado, el atacante solo necesita que un usuario lo active. El agente de IA entonces accede al recurso malicioso, activa el contenido adversario incrustado y entra en lo que el informe describe como la etapa de ataque de "promptware".

En ese punto, se pueden ejecutar instrucciones controladas por el atacante, lo que potencialmente convierte un teléfono o PC en lo que el informe llama un zombi de botnet.

Las mitigaciones son posibles, pero los investigadores dicen que requerirán coordinación. Los pasos sugeridos incluyen que los desarrolladores de LLM bloqueen las operaciones de obtención directa en favor de herramientas de búsqueda, y que los propietarios de recursos adopten convenciones de nombres más estrictas o nombres globalmente únicos.

La advertencia llega en un momento en que el malware basado en LLM se vuelve más común. El informe señala a JADEPUFFER como un ejemplo notable porque se describe como un ataque de ransomware completo ejecutado íntegramente por un LLM.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TechRadar

// Sigue leyendo