HalluSquatting: Yapay Zekânın 'Bilmiyorum' Diyememesi Silaha Dönüştü

Araştırmacılar, kod asistanlarının 'halüsinasyon' eğilimini kötüye kullanan HalluSquatting saldırısını ortaya çıkardı. 9 popüler yapay zekâ aracı risk altında.

HalluSquatting: Yapay Zekânın 'Bilmiyorum' Diyememesi Silaha Dönüştü
Görsel: Ars Technica AI
Okuma Süresi: 3 dk
Mert SorgunHer cevabın arkasında üç soru bulur
Yapay zeka destekli müstear kalem · Editoryal sorumluluk: Osman Aslan

Yapay zekâ güvenliğinin kısa tarihinde en sinsi tehdit uzun süredir "prompt injection" yani komut enjeksiyonuydu. Büyük dil modelleri (LLM), kullanıcının verdiği meşru talimatla e-postaya, kaynak koduna ya da bir web sayfasına gizlice yerleştirilmiş kötü niyetli talimatı birbirinden ayırt edemiyor. Şimdi Tel Aviv Üniversitesi, Technion ve Intuit'ten bir ekip, bu zaafı devasa ölçekli saldırılara çevirebilecek yeni bir yöntemi belgeledi: HalluSquatting.

Peki tam olarak ne yapıyor bu saldırı? Adı "adversarial hallucination squatting" ifadesinden geliyor ve özü şu: Dil modelleri, bir kaynağın (bir kod deposunun ya da "skill" denen eklentinin) tam adresini bilmediklerinde "bilmiyorum" demek yerine bir adres uyduruyorlar. Araştırmacılar da tam olarak modellerin hangi yanlış adresi uydurmaya meyilli olduğunu önceden tahmin edip o adresleri kendileri kaydediyor, içine de kötü niyetli kod yerleştiriyor.

Saldırı Neden Bu Kadar Tehlikeli?

Şimdiye kadarki komut enjeksiyonları çoğunlukla "push" tipindeydi: Saldırganın her kurbana ayrı ayrı zararlı talimat göndermesi gerekiyordu; bu da ölçeği doğal olarak sınırlıyordu. HalluSquatting ise "pull" tipinde çalışıyor — yani kurbanı bulmaya gerek yok, kurban zaten kendi ayağıyla geliyor.

Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw ve NanoClaw. Araştırmacıların savunmasız bulduğu dokuz popüler kodlama asistanı bunlar. Bu araçlar gündelik işlerinde durmadan depolardan kod ve kaynak çekiyor. Bir geliştirici "şu popüler depoyu klonla" dediğinde, model doğru adresi yüzde 85'e varan oranda uyduruyor. Trend olan bir "skill" söz konusu olduğunda halüsinasyon oranı yüzde 100'e kadar çıkabiliyor.

İşin daha da rahatsız edici tarafı, bu yanlış adreslerin tahmin edilebilir olması. Araştırmacılar altı büyük modeli — Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 ve Opus-4.5 — test ettiklerinde hepsinin aynı örüntüyü izlediğini gördü: Deponun adını sahibinin adı zannetme eğilimi (repo-adı/repo-adı biçiminde). Yani saldırganın modeli tek tek yoklamasına bile gerek yok; hatanın nereye düşeceği belli.

Dikkat çekici bir ayrıntı da şu: 2019 öncesi yayımlanmış depolarda halüsinasyon oranı yalnızca yüzde 0,9 iken, 2025'te yayımlanan depolarda bu oran yüzde 92,4'e fırlıyor. Sebep basit — yeni ve trend olan kaynaklar modelin eğitim verisinde yok. HalluSquatting da tam bu boşluğa yerleşiyor.

Sonu Ransomware ve Botnet'e Kadar Gidiyor

Saldırgan, tahmin ettiği yanlış adreslerden kaydedilebilir olanları alıp içine trend kaynağı taklit eden sahte bir depo yüklüyor. README dosyasına ya da kodun içine gizlenmiş talimat, asistana kullanıcının makinesine bir "reverse shell" — yani saldırgana uzaktan erişim sağlayan bir kapı — kurmasını söylüyor. Kodlama asistanları da terminal erişimlerini kullanarak bu talimatı sorgusuz sualsiz yerine getiriyor.

Sonuç: Tek tek hedef seçmeden binlerce cihazı ele geçirebilmek. Araştırmacılar bunun büyük ölçekli fidye yazılımı kampanyalarına, kripto para madenciliği ağlarına ve DDoS saldırıları için botnet oluşturmaya kapı açtığını yazıyor. Karşılaştırma için: 2016'da bir üniversite öğrencisinin PyPI, RubyGems ve NPM'e yüklediği 214 tuzaklı paket, 17 binden fazla alan adında 45 bin kez çalıştırılmıştı. HalluSquatting, o "typosquatting" mantığını yapay zekânın halüsinasyonlarıyla birleştiriyor.

Bu Ne Anlama Geliyor?

Peki burada asıl söylenmeyen ne? Yapay zekâ araçlarının pazarlamacıları verimlilik ve kolaylık üzerine kurulu bir söylem yürütüyor: sıkıcı işleri otomatikleştirin, iş akışınızı hafifletin. Ama aynı şirketler, tüm projeyi çökertebilecek bu yapısal kusurlar konusunda çok daha suskun. HalluSquatting, o vaat edilen verimliliğin bir kısmının abartı olduğunu hatırlatıyor — çünkü sonunda kullanıcı, projeye dahil ettiği her kaynağın adresini tek tek doğrulamak zorunda kalıyor. Bu da otomasyonun bir kısmını anlamsızlaştırıyor.

Güvenlik firması Zenity'nin CTO'su Michael Bargury'nin sözü meselenin özünü yakalıyor: "Ajanlarımıza ne kadar özerklik tanıdığımızla ilgili bir mesele bu. Bir şekilde kandırılacaklar. Bunu varsaymalı ve buna karşı dirençli olmalıyız." Bağımsız araştırmacı Johann Rehberger ise saldırının vahşi doğada birçok ajanı aynı anda tuzağa düşürebileceğine dikkat çekiyor.

Türkiye'ye Etkisi

Türkiye'de yazılım geliştiren ekiplerin büyük bölümü GitHub Copilot, Cursor ve Gemini CLI gibi araçları günlük rutinlerine çoktan dahil etti. HalluSquatting'in kurbanı olmak için özel olarak hedeflenmenize gerek yok — trend bir kütüphaneyi klonlamak isteyen herkes potansiyel hedef. Pratik ders şu: Asistanın önerdiği depo veya paket adresini gözünüzü kapatarak kabul etmeyin. Klonlamadan önce sahibin gerçek ve resmi hesap olup olmadığını doğrulayın, terminal komutlarını asistana körü körüne çalıştırtmayın. Yapay zekâya devrettiğimiz her yetki, aynı zamanda saldırgana açtığımız bir kapı olabilir.

Sık Sorulan Sorular

HalluSquatting saldırısı tam olarak nasıl çalışıyor?
Saldırgan, dil modellerinin bilmediği bir kaynağın adresini uydurma eğilimini önceden tahmin ediyor. En sık uydurulan yanlış adresleri kendisi kaydedip içine reverse shell kuran zararlı kod yerleştiriyor. Kullanıcı bir depo klonlamak istediğinde asistan bu sahte adrese gidip zararlı kodu çalıştırıyor.
Hangi yapay zekâ araçları risk altında?
Araştırmacılar Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw ve NanoClaw olmak üzere dokuz popüler kodlama asistanının savunmasız olduğunu belirledi. Zaaf Gemini, GPT-5.1/5.2, Sonnet-4.5 ve Opus-4.5 gibi altı temel modelde de görülüyor.
Kendimi bu saldırıdan nasıl korurum?
Asistanın önerdiği depo veya paket adresini doğrulamadan kabul etmeyin. Klonlama öncesi sahibin gerçek ve resmi hesap olduğundan emin olun, özellikle 2025'te yayımlanmış trend kaynaklarda dikkatli olun ve terminal komutlarını körü körüne çalıştırmayın.
Neden yeni depolar daha riskli?
Araştırmaya göre 2019 öncesi depolarda halüsinasyon oranı yalnızca yüzde 0,9 iken, 2025'te yayımlanan depolarda yüzde 92,4'e çıkıyor. Yeni ve trend kaynaklar modelin eğitim verisinde bulunmadığı için model adresi doğru bilmiyor, uyduruyor.

Kaynak: Ars Technica AIBu haber, kaynaktaki gelişme temel alınarak Yapay Zekanın Nabzı editoryal süreciyle hazırlanmıştır.

yapay zeka güvenliğiHalluSquattingprompt injectionkodlama asistanlarısiber güvenlikbotnet

Son Haberler