Yapay zeka kod asistanları, kullanıcıdan gelen bir isteği yerine getirirken bazen var olmayan araçlar veya kütüphaneler uydurabiliyor. Araştırmacılar, bu halüsinasyonları bir saldırı vektörüne dönüştüren HalluSquatting adlı yeni bir teknik geliştirdi. Saldırgan, AI'nın sürekli olarak uydurduğu bir ismi tespit edip bu ismi GitHub veya eklenti mağazasında kaydediyor. Ardından, kullanıcı AI asistandan popüler bir kaynağı getirmesini istediğinde, asistan uydurduğu ismi kullanarak saldırganın hazırladığı tuzak versiyonu indiriyor. Bu tuzak, içerdiği gizli talimatlarla AI'yı ele geçiriyor ve botnet malware yüklemeye yönlendiriyor.
Saldırı iki AI zafiyetini birleştiriyor: halüsinasyon ve prompt injection. Halüsinasyon, AI'nın var olmayan bir şeyi gerçekmiş gibi sunması; prompt injection ise AI'yı kullanıcı yerine saldırganın talimatlarını takip etmeye yönlendiren bubi tuzaklı bir talimat. HalluSquatting'de injection dolaylı yoldan geliyor: kullanıcının yazdığı değil, AI'nın dışarıdan getirdiği içerikle birlikte geliyor. Saldırgan, trend olan bir repo veya eklentiyi hedef seçiyor, AI'ya bu kaynağı defalarca sordurarak en sık uydurduğu ismi kaydediyor, ardından bu ismi bir platformda kendine ait bir hesap oluşturup içine kötü niyetli talimatlar yerleştiriyor. Gerçek bir kullanıcı, AI asistandan popüler kaynağı istediğinde, asistan aynı uydurma ismi kullanarak saldırganın versiyonunu çekiyor ve talimatlar devreye giriyor.
Tuzak, kendi başına çalışan bir kod değil; AI asistanlarının terminal gibi araçları olduğu için, ele geçirilen talimatlar 'bot yükle' gibi komutları doğrudan uygulayabiliyor. Araştırmacılar, bu tekniğin pratik olduğunu çünkü uydurma isimlerin rastgele olmadığını gösterdi. Deneylerde, farklı ifadeler ve farklı modeller (Cursor, Windsurf, GitHub Copilot, Cline, Google Gemini CLI, OpenClaw ailesi) kullanıldığında, asistan %85'e varan oranlarda aynı yanlış ismi tekrarladı. Hatta bazı eklenti yüklemelerinde bu oran %100'e ulaştı. Testlerde zararsız yükler kullanıldı, ancak aynı yol gerçek malware için de işleyecek.
Önemli Gelişmeler
Bu araştırma, Tel Aviv Üniversitesi'nden Aya Spira ve ekibi, Technion'dan Stav Cohen ve Intuit'ten Ron Bitton tarafından yürütüldü. Ekip, saldırıyı ifşa etmeden önce etkilenen satıcıları, model üreticilerini ve pazar yeri operatörlerini bilgilendirdi ve saldırının tam kopyalanması için gereken adımları gizli tuttu. Bu, grubun daha önce kendi kendine yayılan bir AI e-posta solucanı ve Google Gemini'yi ele geçiren takvim davetiyesi gibi saldırılar geliştiren ekiple aynı.
Nasıl Önlem Alınmalı?
HalluSquatting, geleneksel botnetlerden farklı bir yaklaşım sunuyor. Klasik botnetler zayıf şifreler veya solucan benzeri yayılma gerektirirken, bu yöntem hiçbirine ihtiyaç duymuyor. Yük, ağ istismarı yerine AI'nın okuduğu metin olarak geldiği için güvenlik duvarları tarafından izlenmiyor. Hedef makineler herhangi bir işletim sistemini çalıştırabilir, homojen bir filo gerekmiyor. AI burada yükü taşıyan kargo değil, dağıtım aracı. Yeni olan, AI'nın tahmin edilebilir şekilde uydurduğu bir isim, herkesin kayıt yapabildiği bir pazar yeri ve getirip çalıştırma iznine sahip bir ajanın birleşimi.
Bu saldırı türü tamamen yeni olmasa da, parçaların birleşimi yeni. Daha önce 'slopsquatting' olarak bilinen yöntemle saldırganlar, AI'nın uydurduğu sahte yazılım paket isimlerini kaydediyordu. Ocak 2026'da Aikido Security'den Charlie Eriksen, AI tarafından oluşturulmuş react-codeshift adlı sahte npm paketinin 237 kod projesine yayıldığını ve hala günlük olarak yüklenmeye çalışıldığını keşfetti; kendisi zarar vermeden önce paketi kaydetti. Daha sonra fikir web adreslerine sıçradı: Palo Alto Networks'ün Unit 42'si, yaklaşık 250.000 halüsinasyon domaininin kayıtsız ve ele geçirilmeye hazır olduğunu bildirdi. HalluSquatting, bu fikri bir adım öteye taşıyarak, getirme işlemini yapan ajanı ele geçirip kod çalıştırmaya kadar götürüyor.
Peki ne yapmalı? Saldırının tek bir koşulu var: AI ajanının dış kaynaktan bir şey getirip kimse kontrol etmeden çalıştırması. Bunu kapatmak saldırıyı durdurur. En etkili çözüm, asistanın getirmeden önce arama yapmasını sağlamak. Gerçek bir sorgulama, ajanı var olan kaynaklara yönlendirir ve tahminleri keskin bir şekilde azaltır. Bu, araçları geliştirenlerin işi; ayrıca planlayıcıyı (isteği adımlara dönüştüren kısım) önce kaynağı arayacak ve 'clone', 'install', 'fetch' gibi kelimeleri işaret olarak algılayacak şekilde eğitebilirler. Kullanıcılar ve güvenlik ekipleri için daha kısa vadeli önlemler var: Varsayılan olarak bu ajanlar komut çalıştırmadan önce izin ister. Risk, otomatik çalışma modlarındadır (Claude Code'un skip-permissions bayrağı, Gemini CLI'nin yolo modu). İlk kural, ajanı hiçbir şeyi kontrolsüz bırakmamak.
Kaynak: thehackernews.com