Fino a oggi il prompt injection, la tecnica che sfrutta l'incapacit� dei modelli linguistici di distinguere le istruzioni legittime da quelle nascoste nei contenuti che elaborano, restava un attacco fondamentalmente poco scalabile: per colpire una vittima era necessario recapitarle direttamente il comando malevolo. Un gruppo di ricercatori ha mostrato come aggirare quel limite. La tecnica, battezzata HalluSquatting, riesce ad assemblare botnet di grandi dimensioni, lanciare campagne ransomware e infettare dispositivi su vasta scala, un risultato inedito per questa famiglia di attacchi. Il lavoro porta la firma di Aya Spira, Elad Feldman, Avishai Wool e Ben Nassi dell'Universit� di Tel Aviv, Stav Cohen del Technion e Ron Bitton di Intuit. Finora le iniezioni di comandi si dividevano in due categorie, entrambe poco scalabili: quelle push, in cui l'aggressore spinge le istruzioni verso ogni singolo bersaglio (una mail, un invito su un calendario), e quelle pull, in cui � il modello a cercare attivamente i prompt impiantati su un sito. Per questi ultimi, per� non si era ancora mai visto un modo per attirare grandi numeri di modelli verso la stessa risorsa malevola. HalluSquatting, contrazione di "adversarial hallucination squatting", parte da un difetto degli assistenti alla programmazione: quando un agente deve recuperare una risorsa da un repository o un registro, spesso allucina l'indirizzo sbagliato. I ricercatori hanno osservato che questi indirizzi errati seguono schemi prevedibili e ricorrenti. Basta quindi individuare i nomi che i modelli tendono a inventare, registrarli e riempirli di istruzioni: dentro un file readme, o direttamente nel codice, l'attaccante nasconde il comando per installare una reverse shell sulla macchina dell'utente. Gli assistenti, che accedono a terminali con privilegi elevati per eseguire codice di terze parti, obbediscono. Il codice recente � quello che si sbaglia di pi� Quando un utente chiede di clonare un repository popolare e recente, il modello indica la posizione sbagliata fino all'85% delle volte; se la richiesta riguarda una "skill", cio� un pacchetto di istruzioni e script che aggiunge capacit� specializzate a un agente, le allucinazioni possono arrivare al 100%. HalluSquatting punta proprio sulle risorse di tendenza, perch� non compaiono nell'addestramento e raccolgono molti download in poco tempo. A pesare � soprattutto l'et� della risorsa. Sugli stessi sei modelli testati, i repository pubblicati prima del 2019 vengono risolti correttamente, con un tasso medio di allucinazione dello 0,9%; quelli del 2025 fanno salire il dato al 92,4%. Lo schema che HalluSquatting sfrutta � auto-referenziale: i modelli producono percorsi del tipo nome-repo/nome-repo, trattando il nome del progetto come se fosse anche quello del proprietario. Il difetto compare al livello di base di tutte le principali famiglie provate, da Gemini a GPT fino a Sonnet e Opus, e sfruttarlo non richiede nemmeno di sondare il modello: secondo i ricercatori � un limite inevitabile, radicato nelle distorsioni dell'addestramento e nell'incapacit� dei modelli di ammettere semplicemente di non conoscere la posizione di una risorsa. Il nome richiama il typosquatting, la registrazione di domini o pacchetti dal nome quasi identico a uno legittimo per intercettare chi sbaglia a digitare. Il precedente pi� citato risale al 2016, quando uno studente caric� 214 pacchetti trappola su PyPI, RubyGems e NPM imitando nomi noti: il codice venne eseguito oltre 45.000 volte su pi� di 17.000 domini, e in oltre la met� dei casi ottenne privilegi amministrativi. Dalla singola macchina alla botnet "La scalabilit� dell'attacco consente all'aggressore di compromettere un gran numero di utenti con sforzo minimo, colpendo risorse popolari e massimizzando la probabilit� che la risorsa occupata venga scaricata", scrivono i ricercatori. Sfruttando i terminali integrati negli strumenti agentici per far girare script e codice, un attaccante pu� infettare molte applicazioni indipendenti, aggregare le macchine compromesse in una botnet e impiegarla per il mining di criptovalute o per attacchi DDoS sul modello di Mirai. Gli strumenti risultati vulnerabili sono nove tra i pi� diffusi, da Cursor e Cursor CLI a Gemini CLI, da GitHub Copilot a Windsurf e Cline, passando per la famiglia delle "chele" OpenClaw, NanoClaw e ZeroClaw: tutti, nel corso normale del lavoro, recuperano codice e risorse da repository e registri. Da qui gli scenari descritti nel paper, ovvero campagne ransomware moltiplicate su reti diverse per massimizzare il guadagno, oppure grandi botnet per il mining o per saturare di traffico un bersaglio. L'aspetto pi� insidioso � che la risoluzione delle risorse da parte di un modello diventa essa stessa un percorso d'attacco, perch� l'aggressore pu� prima sondare i modelli per scovare i nomi che hanno pi� probabilit� di essere allucinati, occuparli e aspettare che gli agenti li richiamino. La difesa, per ora, ricade sull'utente: verificare a mano la posizione di ogni risorsa che un assistente propone di clonare o installare, prima di lasciargliela eseguire. Una cautela che ridimensiona parte dell'automazione promessa da questi strumenti.