AI Ajan Yetenekleri, Güvenlik Tarayıcılarını Atlatabiliyor: Yeni Tehdit ve Çözüm Yazılım

AI Ajan Yetenekleri, Güvenlik Tarayıcılarını Atlatabiliyor: Yeni Tehdit ve Çözüm

AI ajan yetenekleri, geliştiricilerin sistemlerine sızmak için statik tarayıcıları atlatıyor. Yeni araştırmalar, bu tehditlere karşı etkili savunma yö

Yapay zeka (AI) kodlama ajanlarıyla çalışan geliştiriciler, npm veya PyPI'den paket alır gibi kamuya açık pazarlardan yetenekler (skills) ediniyor. Bu yetenekler, Claude Code veya OpenAI Codex gibi araçların yeni bir özellik kazanması için yüklediği düz metin talimatlar, betikler ve dosyalardan oluşuyor. 2025'in sonlarında ortaya çıkan bu format, kısa sürede 40.000'den fazla listelenmiş yeteneğe ulaştı. Çoğu topluluk tarafından eklendi ve hiçbiri denetlenmedi. Bu kolaylık, beraberinde eski ve tanıdık bir faturayı getiriyor: Bir yetenek yüklendiğinde, ajanın tüm yetkileriyle çalışıyor ve geliştiricinin dosyalarına, kimlik bilgilerine, paket yöneticilerine, terminallerine ve dış hizmetlere erişebiliyor.

Zehirli bir yetenek, tüm bu erişimi kullanarak kimlik bilgilerini çalabilir, kaynak kodunu sızdırabilir veya bir arka kapı yerleştirebilir. Tehlikeli kısım, doğrudan talimatlarda, gizli bir betikte veya her ikisinde birden bulunabilir. Bu tür saldırılar gerçekleşti bile. ClawHavoc adlı bir kampanya, tek bir pazara 300'den fazla kötü niyetli yetenek yerleştirdi. Talimat dosyaları, ajana rutin bir kurulum adımı gibi görünen bir bilgi hırsızını indirip çalıştırmasını söylüyordu. Ardından hırsız, tarayıcı kimlik bilgileri, anahtar zinciri şifreleri, SSH anahtarları ve kripto para cüzdanlarını hedef alıyordu.

Şu ana kadar savunma, yetenek tarayıcılarına dayanıyor. Bu araçlar, bir paketi kurulum anında kontrol edip engelleme veya izin verme kararı veriyor. Bazıları dosyalar üzerinde regex, YARA veya AST kuralları çalıştırırken, diğerleri okunabilir içeriği bir dil modeline besleyip ne düşündüğünü soruyor. Bazıları ise her ikisini de yapıyor. Hong Kong Bilim ve Teknoloji Üniversitesi'ndeki araştırmacılar, bu tarayıcıların ne kadar dayanıklı olduğunu görmek için SkillCloak adlı bir sistem geliştirdi. SkillCloak, bir yeteneğin kötü niyetli davranışını tamamen korurken yalnızca görünümünü değiştiriyor.

SkillCloak'ın iki hilesi var. Birincisi, şüpheli komut belirteçlerini, kimlik bilgisi yollarını ve URL'leri, çalışma zamanında ajan tarafından sessizce yeniden oluşturulan eşdeğer formlarla yeniden yazıyor. İkincisi, gerçek yükü tarayıcının atladığı bir dizine sıkıştırıyor, temiz görünümlü bir kapak gönderiyor ve ajan yeteneği çalıştırdığında orijinali yeniden oluşturuyor. Deneyde, bir pazar arşivinden alınan 1.613 gerçek kötü niyetli yetenek, çeşitli tarayıcılara karşı test edildi. Paketleme hilesi, tüm tarayıcıları %90'ın üzerinde bir oranla atlatırken, yeniden yazma hilesi çoğu statik tarayıcıyı %80'den fazla aştı. Karma bir araçta %96'ya ulaştı ve gizlenmiş yetenekler, üretim ajanlarında sorunsuz çalıştı.

Aynı ekip, farklı bir savunma yöntemiyle geri döndü: SkillDetonate. Bu araç, şüpheli bir yeteneği bir kum havuzunda çalıştırıp işletim sistemi sınırında ne yaptığını izliyor. Kimlik bilgisi hırsızlığı, hassas bir şeyi okuyup bir yere göndermeyi gerektirir. Bir indirici, bir yükü yazmak veya çalıştırmak zorundadır. Bu hareketler, paket masum görünse bile sistem çağrıları olarak ortaya çıkar. SkillDetonate, iki fikirle çalışır: İsteğe bağlı kapatma kaldırma, yeteneğin çalışma sırasında kendisi için yazdığı talimatları yakalayıp aynı oturuma geri besler, böylece kod çözme adımından sonra ortaya çıkan çok aşamalı yükler de çalıştırılır ve görülür. İşaret tabanlı bulaşma analizi, her hassas okumaya bir etiket bırakır ve bunu dosyalar, süreçler, ağ çağrıları ve ajanın kendi dil bağlamı boyunca takip eder, böylece base64 ve gzip gibi kodlama adımları da kapsanır.

SkillDetonate, sentetik bir kıyaslamada saldırıların %97'sini yakaladı ve tespit oranı, orijinal, gizlenmiş ve paketlenmiş formlarda sabit kaldı. Yanlış pozitif oranı %2 civarındaydı, bu da kurulumda bir kez çalışan bir geçit için yeterince düşük. Gerçek dünyadaki kötü niyetli yeteneklerde ise %87'de kaldı ve SkillCloak'ın hilelerine karşı dirençliydi. Aynı testteki en iyi statik tarayıcı, yeniden yazma hilesi devreye girdiğinde %99'dan yaklaşık %10'a düştü. Ancak SkillDetonate'ın bir sınırı var: Yalnızca ajanın çalıştırmaya karar verdiği davranışı görür. Ajanın atladığı bir talimatın ardındaki yük asla tetiklenmez, bu nedenle kum havuzu tarafından tespit edilemez. Akıllı bir saldırgan, analiz sırasında ajana kötü niyetli yoldan uzaklaşması için komut enjeksiyonu bile yapabilir.

Davranışsal yaklaşım daha fazla zaman gerektiriyor. Her yeteneğin patlatılması yaklaşık iki buçuk dakika sürüyor, bu statik bir taramadan birkaç kat daha uzun. Kurulumda bir kez çalışan bir geçit için bu bedel, bayt düzeyindeki araçların verdiği kapsamı satın alıyor. Daha büyük hikaye, onlarca yıllık kötü amaçlı yazılım savunmasını yansıtıyor. Bayt düzeyindeki inceleme, davranışı koruyup sarmalayıcıyı değiştiren saldırganlara karşı kaybeder ve uzun süredir çözüm, kodun çalıştığında ne yaptığını izlemektir. AI ajan yetenekleri, bu mücadeleyi bir İngilizce cümlenin silah olabileceği ve saldırıyı gerçekleştiren şeyin bazen onu ikna edebileceğiniz bir model olduğu bir yere taşıyor.

Gelecekte Ne Bekleniyor?

Sonuç olarak, AI ajan yetenekleri ekosistemi, güvenlik açısından büyük riskler taşıyor. Statik tarayıcıların kolayca atlatılabilmesi, davranışsal analiz gibi daha gelişmiş savunma yöntemlerini zorunlu kılıyor. SkillDetonate gibi araçlar, yüksek tespit oranları ve düşük yanlış pozitif oranlarıyla umut verici olsa da, sürekli gelişen tehditlere karşı daha fazla araştırma ve yenilik gerekiyor. Geliştiricilerin, yetenekleri dikkatle seçmeleri ve güvenilir kaynaklardan almaları hayati önem taşıyor.

Kaynak: helpnetsecurity.com

Paylaş: