Google'a ait bulut güvenlik devi Wiz, popüler AI kodlama asistanlarının onlarca yıllık bir saldırı tekniğiyle geliştirici makinelerini hacklemeye zorlanabileceğini ortaya koydu. GhostApproval adı verilen bu saldırı, Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment ve Windsurf gibi araçlarda başarıyla test edildi. Saldırı, sembolik bağlantı (symlink) takip zafiyetini kullanıyor. Symlink takibi, bir programın sembolik bağlantının kendisi yerine hedefini çözümleyip işlem yapmasına neden olan köklü bir dosya sistemi davranışıdır. Bu, bir saldırganın ayrıcalıklı veya sandboxlanmış süreçleri aldatıcı yollarla istenmeyen dosyalara erişmeye veya bunları değiştirmeye yönlendirmesine olanak tanır.
GhostApproval saldırısında, bir bilgisayar korsanı masum görünen bir depoda sembolik bir bağlantı oluşturur. Bu bağlantı, normal bir proje dosyası gibi görünür ancak aslında çalışma alanı dışındaki hassas bir konumu işaret eder. Geliştirici, depoyu bir AI kodlama asistanında açıp düzenleme yapmasını istediğinde, ajan symlink'i takip eder ve yazma işlemini saldırganın belirttiği hedefe gerçekleştirir. Bazı AI kodlama araçları, onay istemlerinde kanonik yolu çözümleyip göstermez; bu nedenle kullanıcılar zararsız bir yerel değişikliği onaylarken ajan sessizce sistem dosyalarını değiştirir. Wiz, GhostApproval'ın hedef geliştiricinin makinesinde uzaktan kod çalıştırmaya (RCE) olanak tanıyabileceği konusunda uyardı.
Wiz araştırmacıları, "Symlink ilkelinin kendisi ciddi, ancak bulduğumuz şey daha derin. Bu araçların çoğunda, tam da bu tür saldırıları önlemek için tasarlanmış sandbox'lar veya onay diyalogları bulunuyor. Diyalog, yazma işlemini durdurur ve kullanıcıdan izin ister. Teoride bu, İnsan-Döngüde güvenlik ağıdır. Başarısızlık sadece symlink'in takip edilmesi değil; aynı zamanda kullanıcı arayüzünün gerçek hedefi göstermemesidir," şeklinde açıkladı. Wiz, "İnsan-Döngüde güvenlik modeli ancak döngü doğru bilgi sağlarsa çalışır. Bir ajan bir şey gösterip başka bir şey yaptığında, kullanıcı onayı anlamsız hale gelir. Onay diyalogu bir güvenlik kontrolünden bir formaliteye dönüşür," diye ekledi.
Güvenlik firması, bulguları 2026'nın ilk çeyreğinde etkilenen her satıcıya bildirdi. AWS, Google ve Cursor, zafiyeti doğruladı ve yamalar yayınladı. Anthropic, bulguları bir güvenlik açığı olarak görmese de, Wiz'in raporundan önce bu tür saldırılara karşı önlemler eklediğini belirtti. Augment ve Windsurf ise raporları aldıklarını doğruladı ancak henüz düzeltme yayınlamadı. Wiz, GhostApproval zafiyeti için teknik detayları Çarşamba günü yayınladı.
Önemli Gelişmeler
Bu saldırı, AI kodlama araçlarının güvenlik modellerindeki temel bir zayıflığı ortaya koyuyor. Geliştiriciler, AI asistanlarına kod tabanlarında değişiklik yapma yetkisi verirken, aracın hangi dosyalara eriştiğini ve hangi değişiklikleri yaptığını tam olarak denetleyemiyor. Symlink tabanlı saldırılar, Unix sistemlerinin ilk günlerinden beri biliniyor olsa da, AI araçlarının karmaşık iş akışları ve kullanıcı arayüzü tasarımları bu eski zafiyeti yeniden gündeme getiriyor. Wiz'in araştırması, güvenlik kontrollerinin yalnızca kullanıcıya doğru bilgi sunulduğunda etkili olduğunu hatırlatıyor.
Geliştiricilerin bu tür saldırılardan korunmak için alabileceği pratik önlemler arasında, AI kodlama araçlarının dosya sistemi erişimini sınırlamak, proje depolarını dikkatlice incelemek ve araçların güncel sürümlerini kullanmak yer alıyor. Ayrıca, güvenilir olmayan kaynaklardan gelen kod tabanlarını AI asistanlarına açmadan önce elle denetlemek de önemli. Wiz'in raporu, AI güvenliğinin sadece yeni tekniklere değil, aynı zamanda onlarca yıllık bilinen zafiyetlere karşı da dikkatli olmayı gerektirdiğini gösteriyor.
Kaynak: securityweek.com