Yapay zeka ajanlarının (agentic AI) ortaya çıkışından bu yana, güvenlik araştırmacıları, sonu belirsiz çıktılara ve tutarsız girdi işlemeye sahip bir program olan büyük dil modellerine (LLM) kullanıcı düzeyinde izinler vermenin ciddi riskler taşıdığı konusunda sürekli uyarıyor. Yapılan yeni bir araştırma, modern yapay zeka botlarının ne kadar kolay kandırılabildiğini ve devasa bir yapay zeka ajan ordusuna dönüştürülebileceğini ortaya koyuyor. Araştırmaya göre, yapay zeka ajanları %85'e varan oranlarda potansiyel olarak zararlı kod depoları (repository) hayal edebiliyor.
HalluSquatting (veya "adversarial hallucination squatting") adı verilen bu saldırı mekanizması oldukça basit. Botlar, daha önce karşılaşmadıkları terimlerle karşılaştıklarında, bunların yanlış olduğunu bilmeden "doğru" bir cevap hayal ediyorlar. Bu yanılsamayı besleyen, botların cevap üretirken kullandıkları tahmin edilebilir yöntemler; örneğin, sahip/depo veya araçadı/araçadı gibi GitHub URL'leri. Bu durum, standart yazım hatası üzerinden yapılan saldırılardan farklılaşıyor çünkü doğrudan yapay zekanın hayal görme mekanizmasını hedef alıyor.
Bir saldırgan öncelikle son aylarda veya yıllarda popülerlik kazanmış bir uygulamayı, kod deposunu, programlama kütüphanesini veya bot yeteneğini belirliyor. Örneğin, OrijinalSahip/WindowsTelemetryKapat gibi bir URL'ye sahip yeni bir GitHub deposu ele alınsın. Botların eğitim verisi bu bilgiyi içerecek kadar güncel olmadığından, SüperHacker/WindowsTelemetryKapat ve WindowsTelemetryKapat/WindowsTelemetryKapat gibi farklı sahip/depo kombinasyonları aynı derecede geçerli görünebiliyor. Benzer şekilde, WindowsTelemetryKap ve WindowTelemetryKapat gibi yazım hataları içeren varyantlar da potansiyel adaylar arasında yer alıyor.
Saldırgan daha sonra bu oluşturulan isimleri kullanarak zararlı bir depo oluşturuyor. Claude veya başka bir kod ajanı, "windowstelemetryoff betiklerini çalıştır" gibi bir talimat aldığında, depo adını hayal etme (bazen web araması bile yapabilir) ve orijinaline benzeyen zararlı sürümle karşılaşma olasılığı yüksek. Sonrasında da içinde bulunan her şeyi memnuniyetle çalıştırabiliyor.
Bu noktadan sonra, saldırganın kodu kullanıcının makinesinde çalıştığı için her şey belirsizleşiyor. En bariz sonuç, ters kabuk (reverse shell) oluşturulması olabilir; yani kullanıcının makinesi, uzaktan kontrol edilebilen bir komut satırı açar. Kullanıcının hesabına erişim sağlayan saldırgan, parolaları ve verileri sızdırabilir, yazılım kurabilir, kripto madenciliği yapabilir veya kendi yapay zeka ajanını daha fazla suistimal için kullanabilir. Tüm bunlar, veri merkezlerinin gücünden faydalanılarak gerçekleştirilebilir.
Ve işin en vurucu noktası şu ki, sadece tek bir HalluSquatted yazılım, kelimenin tam anlamıyla göz açıp kapayıncaya kadar on binlerce, hatta daha fazla botu tuzağa düşürme potansiyeline sahip. Kurnaz bir saldırgan, zararlı sürümüne orijinal kodun tamamını ekleyerek farkındalık seviyesini daha da artırabilir.
Araştırma ekibi, büyük dil modellerinin yakın tarihli bir kod deposunun konumunu %85'e varan oranlarda hayal görebildiğini, bu oranın popüler ajan yetenekleri için %100'e ulaşabildiğini tespit etti. Mevcut tüm modeller, Anthropic'in güçlü Claude Opus 4.5'i dahil olmak üzere geniş çapta etkileniyor. Uygulama düzeyinde, bu oranlar daha iyi olsa da hala oldukça endişe verici.
Bilim insanları, Cursor, Windsurf ve OpenClaw gibi LLM destekli yaygın programlama uygulamaları üzerinde çalışıyor. Bu senaryoda, botlar daha fazla bağlam bilgisiyle çalıştıkları için daha iyi şansa sahip olsalar da, Cursor, Gemini CLI ve Copilot için hackleme başarı oranları %20-35 arasında değişirken, OpenClaw ve varyantlarında bu oran %80-100'e yaklaşıyor. Saldırı mekanizmasının herhangi bir bot için özel olarak tasarlanmasına gerek yok; araştırmacıların sonuçları, bunun evrensel ve transfer edilebilir olduğunu da gösteriyor.
Örnek olarak 2025 yılında yayınlanan GitHub depolarının isimlerinin ortalama hayal görme oranı %92.4 iken, tahmin edilebileceği gibi botlar 2019 veya daha öncesine ait olanlar için URL'leri %0.9 oranında yanlış biliyor. Ancak bu oran bile hala endişe verici sayılabilir. En etkili çözüm, iş akışlarını ayarlamaktır: botlara yazılım kurmadan önce daima web araması yapmaları talimatını vermek ve onlara ek bağlam sağlamak. Ne yazık ki, çoğu insanın onları kullanma şekli varsayılan olarak bu değil.
Siber güvenlik uzmanları, bir botun eylemlerine körü körüne güvenilmemesi ve yapay zeka ajanlarına verilen erişim seviyesinin ciddi şekilde kısıtlanması gerektiğini uzun süredir savunuyor. Buna rağmen, botların kullanıcı makineleri, API anahtarları, erişim anahtarları ve hizmet hesapları üzerinde geniş yetkilere sahip olması, botların "daha kolay" bir şekilde son derece parlak fikirlerini kodlamasını sağlamak adına yaygın bir durum. Bu durum, kullanıcıların her gün karşılaştığı bir durumdur.