Yapay zeka güvenliği alanında yeni ve ciddi bir tehdit ortaya çıktı. Araştırmacılar, büyük dil modellerinin (LLM) zayıf bir noktasını hedef alan, HalluSquatting adını verdikleri yepyeni bir saldırı türü geliştirdi. Bu yöntem, geleneksel prompt injection saldırılarından farklı olarak, devasa botnetler oluşturma ve geniş çaplı DDoS saldırıları düzenleme potansiyeli taşıyor. Özellikle kodlama asistanları ve yapay zeka ajanları bu saldırıya karşı savunmasız kalıyor.
HalluSquatting: Yapay Zeka Destekli Yeni Bir Tehdit
Siber güvenlik uzmanları, yapay zeka modellerinin kullanıcıdan gelen meşru komutlarla kötü niyetli talimatları ayırt edememe sorununa uzun süredir dikkat çekiyor. Bu durum, prompt injection saldırılarının temelini oluşturuyor. Ancak şimdiye kadarki prompt injection saldırıları genellikle her kurbanı ayrı ayrı hedeflediği için sınırlı kalıyordu. Örneğin, kötü amaçlı bir e-posta veya takvim davetiyle her hedefe ayrı ayrı ulaşmak gerekiyordu. HalluSquatting ise bu durumu tamamen değiştiriyor.
Araştırmacılar, bu saldırının Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw ve NanoClaw gibi popüler yapay zeka kodlama asistanlarına ve ajanlarına karşı etkili olduğunu belirtiyor. Bu asistanlar, günlük görevlerini yaparken sürekli olarak çeşitli kaynaklardan kod ve diğer verileri çekiyor. İşte saldırı tam da bu noktada devreye giriyor.
Saldırı Nasıl Çalışıyor
HalluSquatting, LLM'lerin kaynak tanımlayıcılarını "halüsinasyon" yapma, yani yanlış tahmin etme eğiliminden besleniyor. Saldırganlar, LLM'lerin en sık yanlış tahmin edeceği kaynak adlarını önceden belirliyor. Daha sonra bu yanlış tahmin edilen adresleri kaydedip, içlerine reverse shell gibi kötü amaçlı kodlar yerleştiriyorlar. Yapay zeka asistanları, bir depoyu veya beceriyi klonlarken yanlışlıkla bu kötü niyetli adreslere yöneldiğinde, kullanıcının cihazına zararlı yazılım yükleniyor.
Bu yöntem, her cihazı tek tek hedeflemeye gerek kalmadan, çok sayıda cihaza aynı anda bulaşmayı sağlıyor. Araştırmacılar, bu sayede saldırganların popüler kaynakları hedefleyerek çok az çabayla geniş bir kullanıcı kitlesini tehlikeye atabileceğini vurguluyor. Saldırganlar, asistan uygulamalarının entegre kabuk ve terminallerini kullanarak komut dosyaları ve kod çalıştırabiliyor, böylece cihazlara ters kabuklar (reverse shell) kurabiliyorlar.
LLM'lerin Bilmiyorum Diyememe Sorunu
HalluSquatting'in temelinde, LLM'lerin bir kaynağın doğru konumunu kesin olarak belirleyememesi yatıyor. Örneğin, bir geliştirici kodlama asistanına popüler bir depoyu klonlamasını söylediğinde, LLM bu deponun doğru konumunu %85'e varan oranlarda yanlış tahmin edebiliyor. Özellikle "trend" olan veya yeni çıkan becerilerde bu halüsinasyon oranı %100'e kadar çıkabiliyor. Çünkü bu yeni kaynaklar genellikle LLM'lerin eğitim verilerine dahil edilmiyor.
Araştırmacılar, bu durumun Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 ve Opus-4.5 dahil olmak üzere altı büyük LLM'de de görülen temel bir kusur olduğunu belirtiyor. İlginç bir şekilde, 2019'dan önce yayınlanan depoları doğru bir şekilde çözümleme oranı %0,9 gibi düşük bir halüsinasyon oranıyla gerçekleşirken, 2025'te yayınlanan depolar için bu oran %92,4'e fırlıyor. LLM'ler, yanlış tahmin ettikleri kaynak adlarında belirli kalıpları takip ediyor, bu da saldırganların bu adları önceden tahmin etmesini kolaylaştırıyor.
Geniş Çaplı Saldırı Potansiyeli
Bu yeni saldırı türü, prompt injection ile daha önce mümkün olmayan hedeflere ulaşma potansiyeli sunuyor. HalluSquatting sayesinde saldırganlar, dağıtılmış cihazların kontrolünü ele geçirerek büyük fidye yazılımı kampanyaları düzenleyebilir, DDoS saldırıları veya kripto para madenciliği için devasa botnetler kurabilir. Bu, siber suçluların çok daha geniş bir etki alanına sahip olmasını sağlıyor.
Tel Aviv Üniversitesi'nden Aya Spira, Elad Feldman, Avishai Wool ve Ben Nassi ile Technion'dan Stav Cohen ve Intuit'ten Ron Bitton tarafından yürütülen bu araştırma, siber güvenlik dünyasında büyük yankı uyandırdı. Güvenlik firması Zenity'nin CTO'su Michael Bargury, HalluSquatting'in "çok gerçek bir tehdit" olduğunu ve "typosquatting gibi, ortadan kalkmayacak bir sorun" olduğunu belirtiyor. Uzmanlar, yapay zeka ajanlarına ne kadar yetki verdiğimizi yeniden düşünmemiz gerektiğini vurguluyor.
LLM'lerin Temel Kusuru Sayesinde Kitlesel Saldırılar
Araştırmacılar, yapay zeka asistanlarının entegre terminal ve kabuklarını kötüye kullanarak, saldırganların kayıtlı kaynaklara ters kabuklar yerleştirerek çok sayıda bağımsız yapay zeka uygulamasını kolayca tehlikeye atabileceğini ortaya koyuyor. Bu, saldırganlara dağıtılmış bilgi işlem kaynaklarına erişim sağlıyor ve finansal kazancı maksimize etmek için farklı ağlarda fidye yazılımı saldırılarının sayısını artırma veya ele geçirilen makineleri Mirai gibi botnetlere dönüştürerek büyük ölçekli DDoS saldırıları düzenleme imkanı tanıyor.