🛡️ Executive Summary
- I ricercatori descrivono le agentic botnet, una nuova classe di attacchi che sfrutta le allucinazioni degli LLM per distribuire bot su larga scala.
- La tecnica HalluSquatting registra risorse inesistenti previste dai modelli e le usa per iniettare prompt malevoli nelle applicazioni agentiche.
- Le difese tradizionali risultano spesso inefficaci perché l’infezione avviene tramite richieste legittime generate dall’agente AI e non attraverso exploit convenzionali.
L’evoluzione delle applicazioni basate su Large Language Model apre nuovi scenari di rischio che vanno oltre le tradizionali vulnerabilità software. Una ricerca sviluppata dalla Tel Aviv University, dal Technion – Israel Institute of Technology e da Intuit introduce il concetto di agentic botnet, una nuova categoria di botnet che sfrutta le capacità autonome degli agenti AI per compromettere sistemi senza ricorrere a exploit di memoria, credenziali deboli o malware distribuiti attraverso campagne convenzionali. Il meccanismo sfrutta una caratteristica ben nota degli LLM, ovvero le allucinazioni, trasformandola in un vettore di compromissione. Gli aggressori anticipano i nomi di repository, skill o risorse che il modello potrebbe inventare durante una richiesta e registrano preventivamente tali nomi con contenuti contenenti prompt malevoli. Quando l’agente AI tenta di recuperare la risorsa inesistente, finisce per scaricare quella controllata dall’attaccante, eseguendo istruzioni che possono installare un bot sul dispositivo della vittima. I ricercatori definiscono questa tecnica HalluSquatting, evidenziando come rappresenti una nuova forma di promptware capace di costruire infrastrutture distribuite sfruttando esclusivamente il comportamento dei modelli linguistici.
Cosa leggere
Come funzionano le agentic botnet
A differenza delle botnet tradizionali, una agentic botnet non nasce da vulnerabilità software né da campagne di phishing finalizzate all’installazione diretta di malware. Il punto di ingresso è costituito da un’applicazione agentica, cioè un sistema AI dotato della capacità di utilizzare strumenti esterni, accedere a repository, eseguire comandi di sistema e interagire autonomamente con Internet. Quando un utente chiede, ad esempio, di installare una libreria recente o recuperare un repository particolarmente popolare, il modello può generare un nome inesistente ma plausibile. Gli aggressori sfruttano proprio questa tendenza registrando preventivamente repository o marketplace con quei nomi e inserendo al loro interno prompt progettati per manipolare il comportamento dell’agente. Una volta recuperata la risorsa, il prompt entra nel contesto dell’LLM e può convincere il sistema a eseguire strumenti, aprire un terminale, installare componenti aggiuntivi o scaricare codice remoto. Il risultato finale è l’installazione di un bot che entra a far parte di una rete distribuita senza che sia mai stato sfruttato un exploit classico.
HalluSquatting trasforma le allucinazioni in un vettore di attacco

La tecnica HalluSquatting rappresenta l’elemento più innovativo della ricerca. Gli autori descrivono un processo composto da più fasi. In primo luogo gli aggressori monitorano le tendenze nei repository software, nei marketplace di plugin o nei cataloghi di skill per individuare argomenti destinati a essere richiesti frequentemente dagli utenti. Successivamente utilizzano un “oracolo”, cioè una serie di interrogazioni ai modelli linguistici, per calcolare quali nomi abbiano la probabilità più elevata di essere generati erroneamente dagli LLM. I nomi individuati vengono quindi registrati prima che esistano realmente e trasformati in risorse controllate dagli attaccanti. Quando un utente formula una richiesta apparentemente innocua, il modello genera proprio quel nome allucinato, recupera il repository malevolo e incorpora automaticamente il prompt predisposto dagli aggressori. L’intera catena avviene senza interazione diretta con l’attaccante e sfrutta esclusivamente il comportamento previsto dell’agente AI. Secondo lo studio, i tassi di allucinazione osservati risultano particolarmente elevati, arrivando fino all’85% nelle richieste di clonazione di repository e raggiungendo il 100% in alcuni scenari relativi all’installazione di skill, rendendo l’attacco estremamente scalabile.
Un modello di infezione diverso dalle botnet tradizionali
La ricerca evidenzia come le agentic botnet differiscano radicalmente dalle infrastrutture botnet osservate negli ultimi decenni. Le botnet classiche si diffondono attraverso vulnerabilità software, password deboli, exploit remoti o worm capaci di propagarsi automaticamente tra dispositivi simili. Nel nuovo scenario l’infezione avviene invece con un meccanismo pull: è il dispositivo della vittima che, seguendo una richiesta perfettamente legittima, recupera autonomamente il contenuto predisposto dall’aggressore. Questo approccio rende molto più difficile individuare l’attacco attraverso firewall o sistemi di rilevamento basati sul traffico di rete, perché la connessione verso repository o marketplace appare coerente con il comportamento previsto dell’applicazione. Inoltre la tecnica risulta indipendente dal sistema operativo e dall’hardware utilizzato, poiché il punto vulnerabile non è il dispositivo ma il comportamento dell’agente AI. Una singola risorsa registrata tramite HalluSquatting può quindi compromettere utenti che utilizzano piattaforme differenti purché condividano lo stesso modello di interazione con le risorse esterne.
Le applicazioni agentiche coinvolte
Per validare la ricerca gli autori hanno analizzato numerose applicazioni agentiche diffuse nel settore dello sviluppo software. Tra queste figurano assistenti come Cursor, Windsurf, GitHub Copilot, Cline e Gemini CLI, oltre a framework sperimentali quali OpenClaw, ZeroClaw e NanoClaw. Tutti questi strumenti condividono una caratteristica fondamentale: sono in grado di utilizzare tool esterni, eseguire comandi di terminale o recuperare automaticamente repository durante l’elaborazione delle richieste dell’utente. Questa autonomia operativa costituisce il principale fattore di rischio. Se il modello interpreta come affidabile una risorsa controllata dall’attaccante, l’intera catena di esecuzione può essere manipolata attraverso prompt nascosti anziché tramite codice eseguibile tradizionale. Gli autori sottolineano inoltre che le allucinazioni risultano ampiamente trasferibili tra modelli sviluppati da vendor differenti, aumentando la probabilità che un singolo nome registrato possa essere utilizzato contro ecosistemi AI diversi.
Le implicazioni per la sicurezza degli LLM
La ricerca modifica profondamente il modo in cui vengono interpretate le allucinazioni dei modelli linguistici. Fino a oggi erano considerate prevalentemente un problema di accuratezza o affidabilità delle risposte; con le agentic botnet diventano invece una vulnerabilità di sicurezza sfruttabile sistematicamente. L’attacco dimostra che un errore apparentemente innocuo nella generazione di un nome può trasformarsi in un’esecuzione indiretta di codice, aprendo la strada a compromissioni persistenti e distribuite. I marketplace di codice, le piattaforme di distribuzione delle skill e gli ecosistemi di plugin assumono così un ruolo simile a quello dei repository software nella supply chain security, con la differenza che l’elemento vulnerabile non è la firma del pacchetto ma il comportamento probabilistico del modello linguistico. Questa prospettiva amplia notevolmente la superficie di attacco delle applicazioni AI agentiche, imponendo nuove strategie di verifica delle risorse recuperate automaticamente.
Come mitigare il rischio delle agentic botnet
Gli autori della ricerca raccomandano una serie di contromisure rivolte sia agli sviluppatori sia alle organizzazioni che adottano applicazioni agentiche. Il primo elemento consiste nella verifica dell’autenticità delle risorse recuperate, evitando che l’agente possa installare automaticamente repository o skill basandosi esclusivamente sul nome suggerito dal modello. Diventa inoltre fondamentale limitare le autorizzazioni concesse agli strumenti di esecuzione, richiedendo conferme esplicite per operazioni che comportino download, installazioni o comandi di terminale. Sul piano operativo le aziende dovrebbero monitorare l’esecuzione di comandi anomali, segmentare gli ambienti utilizzati dagli agenti AI e limitare l’accesso a repository esterni non verificati. L’introduzione di controlli sulla provenienza delle risorse e di meccanismi che consentano agli LLM di riconoscere l’incertezza, invece di inventare automaticamente nomi plausibili, potrebbe ridurre significativamente il rischio. Lo studio dimostra che la sicurezza degli agenti AI non dipende più soltanto dalla qualità del modello linguistico, ma anche dalla capacità di controllare ogni interazione automatica tra il modello, gli strumenti disponibili e l’ecosistema software esterno.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









