Investigadores han identificado una técnica de prompt injection bautizada como HalluSquatting que aprovecha la tendencia de los modelos de lenguaje a alucinar identificadores de recursos en repositorios y registros de software. El ataque, de tipo pull, funciona contra asistentes y agentes de programación como Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw y NanoClaw, todos ellos vulnerables. El método consiste en predecir qué nombres de paquetes o recursos inventará el modelo con mayor probabilidad, registrarlos y sembrarlos con instrucciones maliciosas, como la instalación de reverse shells, que el asistente ejecuta al descargarlos. De este modo, una sola campaña puede infectar de forma indiscriminada un gran número de dispositivos sin necesidad de dirigirlos uno a uno, lo que abre la puerta a la formación de botnets masivas y a ataques DDoS a gran escala. Los autores subrayan que se trata del primer ataque de inyección de prompts capaz de comprometer sistemas a escala masiva, ya que las técnicas push habituales, basadas en correos o invitaciones trampa, están limitadas por la necesidad de enviar la carga útil a cada víctima. El hallazgo vuelve a poner de manifiesto la incapacidad estructural de los LLM para distinguir entre instrucciones legítimas y maliciosas, y la dependencia de los desarrolladores de IA en barreras de seguridad que mitigan los efectos en lugar de resolver la causa raíz.
