sistema: OPERATIVO
← volver a todos los hacks
SUPPLY CHAIN CRITICAL NEW

HalluSquatting: armar nombres alucinados para sembrar botnets de agentes

Un atacante puede registrar por adelantado los nombres de repositorios y skills que los agentes de código alucinan de forma predecible, convirtiendo un simple «clona esto» en ejecución remota de código a gran escala.

2026-07-10 // 8 min affects: gpt-5.1, gpt-5.4-codex, claude-sonnet-4.6, claude-opus-4.6, gemini-2.5-pro, grok-code

¿Qué es esto?

La mayoría de los ataques de inyección de prompts asume que el atacante tiene un canal hacia la víctima: un correo, una invitación de calendario, un documento compartido. Un artículo publicado el 8 de julio de 2026 — Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting (arXiv, 8 de julio de 2026) — plantea una pregunta más difícil: ¿se pueden comprometer aplicaciones LLM agénticas a gran escala cuando no existe ningún canal directo?

Su respuesta es una técnica que los autores llaman hallucination squatting («HalluSquatting»). Cuando le pide a un agente de código que clone un repositorio de moda o instale un skill popular, el modelo a menudo desconoce el identificador exacto y simplemente alucina un propietario o un nombre. Esas alucinaciones no son ruido aleatorio: son predecibles y se repiten entre modelos. Un atacante que aprende qué nombres inventará un modelo puede registrarlos por adelantado, alojar allí un prompt malicioso y esperar a que los agentes lo busquen por sí solos. Es typosquatting donde la «errata» la genera el propio modelo. Este trabajo amplía el hallazgo previo de que los modelos de código inventan nombres de paquetes inexistentes (Spracklen et al., 2025), la base del «slopsquatting» (Socket) — pero en lugar de envenenar un paquete aguas abajo, HalluSquatting apunta al propio agente en tiempo de inferencia.

Cómo funciona

El ataque tiene tres pasos y no requiere entrega dirigida. Primero, el atacante elige recursos de moda — repositorios de GitHub populares, skills de agentes en tendencia — y sondea los modelos base o las aplicaciones con prompts corrientes («clona el repo X») para estimar la distribución de probabilidad de los identificadores alucinados. Segundo, registra en la plataforma real los identificadores alucinados de alta probabilidad y aloja allí contenido adversario. Tercero, espera: un usuario legítimo formula una petición normal, el agente emite con confianza un comando git clone o una instalación de skill que apunta al nombre ocupado por el atacante, lo descarga, y el contenido descargado se comporta como promptware — texto diseñado para secuestrar las propias herramientas del agente.

Las tasas de alucinación medidas son el punto clave. Consultados directamente por sus API, los modelos base alucinaron el propietario en el 92 % de los repositorios de moda recientes, y los mismos slugs ocupables reaparecían en las familias Gemini, GPT y Claude — indicio de que el sesgo reside en la capa del modelo, no en la aplicación. Las alucinaciones también se concentran: en el 43 % de las combinaciones (repositorio, modelo) probadas, el nombre inventado más frecuente captaba más de la mitad de las respuestas, y en doce combinaciones superaba el 90 %, de modo que un solo registro intercepta la mayoría de las peticiones. Entre 1 616 slugs alucinados únicos, 18 eran registrables y los produjeron dos o más modelos; varios eran autorreferenciales (propietario igual al nombre del repositorio) y directamente reclamables. De extremo a extremo, el recurso descargado condujo a la invocación de herramientas o a la ejecución remota de código en todas las aplicaciones de producción probadas — asistentes de código (Cursor, Windsurf, GitHub Copilot, Cline), un CLI (Gemini CLI) y asistentes (OpenClaw, ZeroClaw, NanoClaw) — con tasas de éxito de hasta el 100 % en algunas rutas de instalación de skills. Las cargas concretas están censuradas en el artículo; esta síntesis solo describe el mecanismo.

Por qué importa

Es la combinación lo que vuelve peligroso el ataque: es no dirigido, escalable y sin canal directo. El atacante registra un puñado de nombres, y cualquier agente, en cualquier lugar, que alucine uno de ellos se convierte en víctima — los autores presentan el resultado como una forma de montar un botnet de agentes, ya que un recurso ocupado puede llevar una instrucción para instalar un bot persistente en la máquina que lo descargó. Como las alucinaciones se transfieren entre familias de modelos y desde el modelo base hacia las aplicaciones en producción, un mismo conjunto de squats es universal y no está atado a un proveedor. La novedad amplifica el efecto: los repositorios de moda más recientes son los que tienen menos probabilidad de estar en los datos de entrenamiento y, por tanto, los más alucinados — los proyectos más frescos y más clonados son también los blancos más fáciles.

Defensas

Los propios datos del artículo señalan la corrección principal: verificar el recurso antes de actuar. La única aplicación que alucinaba menos, Gemini CLI, lo lograba precisamente porque a veces ejecutaba una búsqueda web para confirmar una URL antes de clonar — cuando una aplicación coteja el identificador con el registro autoritativo (la API de GitHub, el marketplace de skills) y se niega a clonar o instalar slugs no verificados, la alucinación en la capa del modelo deja de ser explotable. En concreto: resuelva cada propietario/nombre contra una fuente de verdad y nunca deje que el agente componga libremente el propietario de un repositorio o el nombre de un skill dentro de un comando de shell.

Superponga defensas. Fije y ponga en lista blanca los propietarios de confianza y las URL exactas para todo lo que el agente pueda descargar. Trate cualquier repositorio o skill descargado como contenido no confiable que puede contener promptware: aísle la terminal en un entorno de pruebas, restrinja el alcance de herramientas del agente y exija aprobación humana explícita antes de ejecutar clone, install o scripts descargados. Reutilice el manual del lado del registro empleado contra el typosquatting — preregistre o bloquee los nombres alucinados de alta probabilidad para los recursos de moda, y vigile las cuentas recién creadas cuyo nombre imita a un proyecto popular. Del lado del proveedor, reducir la alucinación de identificadores y entrenar a los modelos para que se abstengan («no estoy seguro del repositorio exacto») en lugar de inventar un slug con aplomo elimina la materia prima de la que depende el ataque. Los autores realizaron una divulgación responsable ante los proveedores de aplicaciones, los proveedores de modelos y los mantenedores de frameworks afectados antes de la publicación.

Estado

ElementoEstado
Clase de ataqueInyección de prompt indirecta no dirigida / promptware mediante nombres de recursos alucinados y ocupados; investigación pública y reproducible
Primera publicación8 de julio de 2026 (arXiv 2607.07433)
Aplicaciones probadasCursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw, NanoClaw
Efecto medido92 % de alucinación del propietario en repositorios de moda recientes; hasta 85 % (clon de repo) / 100 % (instalación de skill) de extremo a extremo; RCE en todas las apps probadas
TransferibilidadLas alucinaciones se repiten entre las familias Gemini, GPT y Claude y hasta la capa de aplicación
DivulgaciónDivulgación responsable a proveedores, proveedores de modelos y mantenedores de frameworks; detalles de carga reproducibles censurados
Exploit accionable aquíNinguno — síntesis defensiva y educativa únicamente

Sources