Tel Aviv Üniversitesi araştırmacıları, AI ajanı halüsinasyonlarını kullanan yeni bir HalluSquatting saldırısını anlattı. Sorun şu: Modeller bir projenin tam adresini bilmiyorsa repository, kütüphane ya da araç adlarını kendinden emin biçimde uydurabiliyor. Kod kurma ve çalıştırma izni verilen ajanlarda böyle bir hata, kullanıcının cihazı için hızla gerçek bir riske dönüşebiliyor.
Saldırının şeması bu halüsinasyonların öngörülebilir olmasına dayanıyor. Modelin eğitim verilerinde henüz yer almayan yeni ve popüler bir repository ortaya çıktığında bot benzer bir GitHub adresini “tahmin edebilir”: proje sahibini karıştırabilir, araç adını yazar adında tekrarlayabilir ya da basit bir yazım hatası yapabilir. Saldırgan, bu isim varyantına sahip bir repository’yi önceden kaydeder ve oraya orijinal projeye benzeyen zararlı kod yerleştirir.
Kullanıcı AI ajanından gerekli aracı kurmasını veya çalıştırmasını istediğinde model gerçek repository yerine sahte olanı seçebilir. Ajan da kullanıcının verdiği izinlerle başkasına ait kodu indirip çalıştırır. Sonuçlar ciddi olabilir: verilerin ve erişim anahtarlarının çalınması, malware kurulumu ya da ele geçirilen makinenin sonraki saldırılarda kullanılması.
Çalışmanın yazarlarına göre modern modeller özellikle yeni projelerde sık hata yapıyor. 2025’in trend repository’lerinde proje sahibini belirlemedeki ortalama hata oranı yaklaşık %92 seviyesine ulaştı; bazı ajan becerisi senaryolarında ise %100 oldu. Programlama araçlarında tablo biraz daha iyi, ama hâlâ kaygı verici: Cursor, Gemini CLI ve Copilot için saldırı başarısı %20–35 olarak tahmin edilirken, OpenClaw ve varyantlarında bu oran %80–100 seviyesine yaklaşabiliyordu.
Araştırmacıların ana önerisi net: AI ajanlarına geniş yetkiler verilmemeli ve kaynak kontrol edilmeden kod kurmalarına izin verilmemeli. Botlara resmi repository’yi aramaları, bağlantıları doğrulamaları ve ek bağlam kullanmaları açıkça söylenmeli. Ancak birçok kullanıcı kolaylık uğruna ajanları dosyalara, API anahtarlarına ve servis hesaplarına erişimle çalıştırdığı sürece HalluSquatting bu yaklaşımın temel zayıflığını gösteriyor.