Yapay zeka kod asistanları, popüler araçları getirmek istediğinizde bazen gerçekte var olmayan projelerin isimlerini uyduruyor. Tel Aviv Üniversitesi'nden araştırmacılar, bu durumu HalluSquatting adını verdikleri bir saldırıya dönüştürdü. Saldırganlar, AI'nın güvenilir bir şekilde uydurduğu sahte isimleri tespit edip önceden kaydediyor ve kullanıcı adına bu tuzakları getirmesini bekliyor. Özellikle harici kaynakları getirip komut çalıştırabilen asistanlar risk altında. Testlerde, bu yol asistanın saldırganın kodunu çalıştırmasına yol açtı.
Saldırı iki AI tuhaflığını birleştiriyor: halüsinasyon (AI'nın gerçek olmayan bir şeyi gerçekmiş gibi sunması) ve dolaylı prompt injection (asistanın getirdiği içerikte gizlenen talimatlar). Saldırgan, trend olan bir depo veya eklenti seçiyor. Çünkü yeni kaynaklar AI'nın eğitim verisinde yok, bu da modelin isim tahmin etmesine neden oluyor. Saldırgan, AI'ya bu kaynağı defalarca sorup en sık uydurduğu sahte ismi kaydediyor. Ardından bu ismi GitHub veya bir eklenti mağazasında kaydedip içine kötü niyetli talimatlar gizliyor. Kullanıcı asistanından popüler kaynağı getirmesini istediğinde, asistan sahte ismi uydurup saldırganın sürümünü getiriyor. Gizli talimatlar, asistanın yapması gerektiğini düşündüğü şeyin bir parçası haline geliyor ve asistan kendi komut çalıştırma aracını kullanarak bunları yerine getiriyor.
Araştırmacılar, sahte isimlerin rastgele olmadığını vurguluyor. Deneylerde, farklı ifadeler ve farklı modellerde bile asistan aynı yanlış isme %85'e varan oranlarda (depo isteklerinde) ve %100 (beceri yüklemelerinde) yöneldi. Saldırıyı Cursor, Windsurf, GitHub Copilot, Cline, Google'ın Gemini CLI ve OpenClaw ailesi gibi araçlarda test ettiler ve her birinde saldırgan kodunu çalıştırmayı başardılar. Gerçek kötü amaçlı yazılım kullanılmadı, ancak aynı yol izlenebilir. Araştırma ekibi, saldırının tam adımlarını paylaşmadan önce etkilenen satıcıları ve pazar yeri operatörlerini bilgilendirdi.
Teknik Analiz
HalluSquatting, geleneksel botnetlerden farklı. Normal botnetler zayıf şifreler, solucan benzeri yayılma veya belirli cihaz türlerini hedef alırken, bu saldırı bunların hiçbirine ihtiyaç duymuyor. Yük, AI'nın okuduğu metin olarak geldiği için güvenlik duvarları tarafından izlenmiyor. Hedef makineler herhangi bir işletim sistemini çalıştırabiliyor. AI burada teslimat aracı görevi görüyor; gizli talimatlar onu sıradan bir bot yüklemeye kandırıyor ve bot çalıştığında makine botnet'in bir parçası haline geliyor.
Bu saldırı türü yeni olsa da bileşenleri yeni değil. Daha önce 'slopsquatting' adıyla AI'nın uydurduğu sahte yazılım paket adlarının kaydedildiği saldırılar görülmüştü. Ocak 2026'da Aikido Security'den Charlie Eriksen, AI tarafından oluşturulan talimatlarla 237 kod projesine yayılan react-codeshift adlı sahte bir npm paketi buldu; saldırganlar öncesinde kaydettiği için zarar oluşmadı. Ardından Palo Alto Networks'ün Unit 42'si, kayıtlı olmayan yaklaşık 250.000 halüsinasyon alan adını tanımladı. HalluSquatting, bu fikri bir adım öteye taşıyarak getirme işlemini yapan AI ajanını ele geçirip kod çalıştırmaya kadar götürüyor. Pazar yeri taramaları da yeterli değil; Trail of Bits, Haziran ayında bir saatten kısa sürede birkaç mağaza tarayıcısını atlatarak kötü niyetli 'beceriler' yüklemeyi başardı.
Korunma için en etkili çözüm, AI asistanının dış kaynakları getirmeden önce arama yapmasını sağlamak. Gerçek bir arama, ajanın var olan kaynaklara yönelmesini sağlar ve tahminleri keskin şekilde azaltır. Araç geliştiricileri, planlayıcıyı kaynağı önce arayacak ve 'clone', 'install', 'fetch' gibi kelimeleri işaret olarak değerlendirecek şekilde eğitebilir. Kullanıcılar ve güvenlik ekipleri için ise en kısa vadeli önlem, ajanların komut çalıştırmadan önce izin istemesini sağlamak. Otomatik çalışma modları (Claude Code'un skip-permissions bayrağı, Gemini CLI'nin yolo modu) bu korumayı devre dışı bırakır; bu nedenle asla bir ajanın gözetimsiz çalışmasına izin verilmemelidir.
Kaynak: thehackernews.com