Ara

Yapay Zeka Araçları Artık Botnet Oluşturmak İçin de Kullanılabiliyor: “HalluSquatting” Tehlikesi

Yapay zeka (YZ) güvenliği alanında yaşanan gelişmeler, her geçen gün yeni tehditleri de beraberinde getiriyor. Son dönemde en çok konuşulan tehditlerden biri olan ve komut enjeksiyonu (prompt injection) olarak bilinen saldırı türü, büyük dil modellerinin (LLM) kullanıcıdan gelen talimatlarla kötü niyetli komutları ayırt edememesinden faydalanıyor. Bu durum, e-postalar, kaynak kodları ve işlenen diğer üçüncü taraf içeriklere gizlice yerleştirilen kötü amaçlı komutların YZ'ler tarafından sorgusuzca uygulanmasına yol açıyor.

YZ motoru geliştiricileri, güvenilir ve güvenilmeyen kaynaklar arasındaki bu kritik ayrımı zorunlu kılmanın bir yolu olmadığından, temel nedeni çözmek yerine zararı azaltmaya yönelik karmaşık güvenlik önlemleri almak durumunda kalıyor.

Şu ana kadar gerçekleştirilen komut enjeksiyonu saldırılarının çoğu, potansiyel her bir kurbanın hedef alındığı "itme" (push) tipi saldırılardı. Örneğin, saldırgan, kötü niyetli talimatları bireysel bir e-postaya veya takvim davetine yerleştiriyordu. Ancak bu enjeksiyonun her bir hedefe ayrı ayrı gönderilmesi (veya "itilmesi") gerektiği için saldırının ölçeği sınırlı kalıyor, internet genelinde büyük çaplı istismarları engelliyordu.

Bu arada, YZ'lerin web sitelerine yerleştirilmiş kötü niyetli komutları aktif olarak aradığı "çekme" (pull) tabanlı saldırılar ise sınırlı kalmaya devam ediyordu. Çok sayıda YZ'yi kötü niyetli bir siteye çekmenin bir yolu olmadığından, bu tür saldırılar da ölçeklenemiyordu.

HalluSquatting Ortaya Çıkıyor

Şimdi ise araştırmacılar, bu durumu değiştiren bir çekme tabanlı saldırı yöntemi geliştirdi. Araştırmacıların "HalluSquatting" adını verdiği yeni saldırı, devasa botnet'ler oluşturma, büyük ölçekli DDoS saldırıları gerçekleştirme ve cihazları yaygın şekilde enfekte etme potansiyeline sahip. Bu, komut enjeksiyonu saldırıları için bir ilk olma özelliği taşıyor. Saldırı, Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw ve NanoClaw gibi YZ kodlama asistanları ve ajanlarına karşı etkili oluyor; bu araçların hepsi bu tür saldırılara karşı savunmasız.

Bu asistanlar ve ajanlar, günlük aktivitelerini yerine getirirken rutin olarak kodları ve diğer kaynakları depolardan ve kayıt defterlerinden çekerler. "HalluSquatting" (kötü niyetli halüsinasyon taklidi), LLM'lerin depolarda ve kayıt defterlerinde barındırılan kaynak tanımlayıcılarını halüsinasyon görme (yanlış hatırlama/uydurma) eğilimine dayanıyor. Kodlama ajanları ve asistanlarına karşı işliyor; bu araçlar genellikle üçüncü taraf kaynaklardan kod çalıştırmak için yüksek yetkili komut satırlarına erişirler. LLM'lerin halüsinasyon görme olasılığının en yüksek olduğu tanımlayıcıları tahmin ederek, bunları kaydedip ters kabuk (reverse shell) veya diğer kötü amaçlı yazılımları kurma talimatlarıyla doldurarak, her bir cihazı hedef almak zorunda kalmadan rastgele sayıda cihazı enfekte edebilir.

Araştırmacılar, "Saldırının ölçeklenebilirliği, popüler kaynakları hedefleyerek saldırganın minimum çabayla çok sayıda kullanıcıyı tehlikeye atmasını sağlayarak, taklit edilen kaynağın alınma olasılığını en üst düzeye çıkarıyor," diyor. "Ajanlık uygulamalarının entegre kabuklarını ve terminallerini komut dosyalarını ve kodu çalıştırmak için kullanarak, saldırganlar kayıt altına aldıkları kaynaklara ters kabuk kurma talimatlarını yerleştirerek birçok bağımsız ajanlık uygulamasını etkili bir şekilde 'enfekte' edebilirler."

Dağıtılmış cihazları büyük ölçekte kontrol etme yeteneğiyle HalluSquatting, komut enjeksiyonlarıyla daha önce mümkün olmayan çeşitli hedeflere ulaşma potansiyeline sahip. Büyük fidye yazılımı kampanyaları ve DDoS saldırıları veya kripto para madenciliği için kullanılacak büyük botnet'ler bu tür hedeflere örnek olarak verilebilir.

İsmin "squatting" (taklit etme/boş tutma) kısmı, popüler bir alan adı, depolama paketi veya diğer kaynak tanımlayıcısını taklit ederek potansiyel kullanıcıları ziyaret etmeye veya kurmaya yönlendirme umudunu taşıyan "typosquatting" (yazım hatası taklidi) terimini anımsatıyor. Typosquatting ilk olarak 2016'da yaygın dikkat çekti. Daha sonraki yıllarda da bu tür saldırılar artış gösterdi.

LLM'ler "Bilmiyorum" Demeyi Bilmiyor

HalluSquatting'in başlangıç noktası, LLM'lerin kullanıcı tarafından belirtilen bir kaynağın konumunu doğru bir şekilde belirleyememesi. Örneğin, bir geliştirici bir kodlama aracına popüler bir yeni depoyu kopyalamasını emrettiğinde, LLM bu deponun doğru konumunu %85'e varan oranlarda halüsinasyon görüyor (yanlış hatırlıyor). Bir ajana özel yetenekler ve alan uzmanlığı kazandıran bir "beceri" (skill) kopyalanırken, halüsinasyonlar %100 oranında görülebiliyor. HalluSquatting, LLM eğitimlerine dahil edilmemiş ve kısa sürede büyük indirme sayılarına ulaşan trend kaynaklara odaklanıyor.

Araştırmacılar, LLM'lerin doğru konumu sağlayamamalarının, eğitim yanlılıklarından veya mevcut bağlamdaki talimatların yanlış yorumlanmasından kaynaklanan temel bir kusur olduğunu belirtiyor. Bu da, bir kullanıcı kodlama asistanına bir depoyu veya beceriyi kopyalamasını istediğinde, botun onu almak için sık sık yanlış konuma gitmesi anlamına geliyor.

Bu halüsinasyonlar kaçınılmaz olmakla kalmayıp, aynı zamanda Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 ve Opus-4.5 dahil olmak üzere altı büyük LLM'nin tamamında temel düzeyde meydana geliyor. Dahası, bu LLM'lerin en sık olarak uydurduğu yanlış konumlar önceden tahmin edilmesi kolay. Altı LLM de, bir komuttaki depolama veya beceri adını resmi adıyla eşleştirirken ortak kalıpları takip ediyor.

LLM'ler çeşitli halüsinasyon kalıpları izler. HalluSquatting'in faydalandığı kalıp, kendi kendine referans verme (self-referential) olarak tanımlanıyor. Altı model de, bir depolama adını sahibi olarak ele alan 'repo-adı/repo-adı' kalıplarını üretiyor. Bu kalıptan faydalanmak için özel bir model sorgulaması gerekmiyor.

İlginç bir şekilde, LLM'ler 2019 öncesinde yayınlanan depoları sadece %0.9'luk düşük bir ortalama halüsinasyon oranıyla doğru şekilde çözüyor. Ancak 2025'te yayınlanan depolar için aynı LLM'ler %92.4'lük bir ortalama halüsinasyon oranıyla takma adlar (slugs) üretiyor.

Saldırgan, en çok halüsinasyon görme olasılığı olan adları belirledikten sonra, kaydedilebilecek olanları arar. Ardından, trend olan kaynağı taklit eden bir depolama veya beceri yükler. Depolama veya becerinin içine, bir README dosyasında veya başka bir yerde, LLM kullanıcısının makinesine bir ters kabuk kurması için bir talimat içeren metin gizlenir. Alternatif olarak, saldırgan kabuğu kurmak için gereken kodu doğrudan dahil edebilir. Her iki durumda da, kodlama asistanları veya ajanları komut pencerelerine erişimlerini kullanarak bu talimatları yerine getirir.

LLM'leri Ölçekte İstismar Etmek

Araştırmacılar: Tel Aviv Üniversitesi'nden Aya Spira, Elad Feldman, Avishai Wool ve Ben Nassi, Technion'dan Stav Cohen ve Intuit'ten Ron Bitton, araştırmalarını yayınladılar. Araştırmalarında şunları belirttiler:

HalluSquatting, YZ güvenlik araştırmacıları tarafından ilgiyle karşılanıyor. Bir güvenlik firmasının CTO'su, "Bu çok iyi bir araştırma ve tehdit çok gerçek. Tıpkı typosquatting gibi, bu da ortadan kalkmayacak bir sorun. Sonuçta, ajanlarımıza izin verdiğimiz ajans seviyesiyle ilgili. Bir şekilde kandırılacaklar. Bunu varsaymalıyız ve buna karşı dirençli olmalıyız," yorumunu yaptı.

Bağımsız bir araştırmacı ise, "YZ araç üreticileri platformlarının kolaylık ve verimliliğini sık sık abartıyor. Pazarlamacılar, platformların zahmetli görevleri otomatikleştirip düzenleyerek iş akışlarını kolaylaştırdığını iddia ediyorlar. Ancak tüm projeyi batırabilecek temel kusurlar hakkında daha az konuşuyorlar. HalluSquatting gibi saldırılar, verimlilik iddialarının abartılı olduğunun güçlü bir hatırlatıcısıdır, zira kullanıcılar günün sonunda bir projeye dahil edilen her kaynak için konumu gibi ayrıntıları iki kez kontrol etmek zorundadır. Ayrıca, insanlar YZ asistanlarına aşırı derecede güvendiğinde ortaya çıkabilecek istenmeyen ve potansiyel olarak ciddi sonuçlar konusunda uyarıcı bir ders niteliği taşıyor." dedi.

Önceki Haber
Plüton ve Titan'da Ortak Kimyasal Gizem: JWST'den Şaşırtıcı Keşif!
Sıradaki Haber
Perplexity, NVIDIA'nın Yeni CPU'suna Güveniyor: Tek Çekirdek Performansında Lider İddiası

Benzer Haberler: