HalluSquatting: AI Kodlama Ajanları Botnet'e Nasıl Dönüşür
Cursor, Copilot ve Gemini CLI gibi AI kodlama araçlarındaki halüsinasyon paket adları, saldırganlar tarafından önceden kayıt edilerek zararlı yazılım dağıtımına dönüştürülebiliyor.
Temmuz 2026'da yayımlanan bir araştırma, Cursor, GitHub Copilot, Gemini CLI ve Windsurf gibi yaygın AI kodlama ajanlarının ortak bir zayıflığını ortaya koydu: bu araçlar 'trend' bir repo klonlarken veya paket kurarken sık sık var olmayan ama gerçekçi görünen isimler uyduruyor. HalluSquatting adı verilen bu teknik, klasik prompt injection'ın tersine çalışıyor — saldırgan kurbanı hedeflemek yerine, modelin halüsinasyon olarak üreteceği isimleri tahmin edip bu isimleri GitHub veya paket kayıt defterlerinde önceden kayıt altına alıyor, içine reverse shell gibi zararlı yükler yerleştiriyor ve bekliyor. Aynı ismi halüsinasyon yoluyla üreten her ajan, insan doğrulaması olmadan bu paketi klonlayıp kurarak otomatik olarak enfekte oluyor.
Mevcut savunma mekanizmaları bu saldırıyı yapısal olarak kaçırıyor: prompt injection filtreleri girdide zararlı bir dizi arar, ancak burada zararlı olan modelin kendi çıktısıdır; SCA araçları ve CVE veritabanları ise sıfır geçmişe sahip, özel olarak bu saldırı için oluşturulmuş yeni paketleri tanımayacak kadar geriden gelir. Kod incelemesi de genellikle klonlama ve çalıştırma aynı oturumda gerçekleştiği için çok geç kalır.
Sentinel'in SlopScan entegrasyonu, LLM çıktısından çıkarılan her paket adını ajan tarafından işleme alınmadan önce canlı PyPI/npm kayıtlarına karşı kontrol ederek bu boşluğu kapatıyor. Sistem CVE geçmişine değil, paketin gerçekten var olup olmadığına ve güven skoruna bakıyor; böylece hem henüz kayıtlı olmayan halüsinasyon isimlerini hem de saldırganın az önce kaydettiği düşük itibarlı zararlı paketleri yakalayabiliyor. Bu kontrol, ana tehdit skorlama hattından bağımsız çalıştığı için prompt tamamen temiz görünse bile paket riski ayrıca işaretlenebiliyor.
Sonuç olarak, otonom repo klonlama veya paket kurulumu yapan ekipler için çözüm daha iyi prompt yazmak değil, 'model bunu önerdi' ile 'ajan bunu çalıştırdı' arasına bir doğrulama katmanı koymaktır. Sentinel kullanan ekipler için SlopScan'i açmak, ajan mantığına dokunmadan bu spesifik açığı kapatan tek tıklamalık bir çözüm sunuyor.