Wiz Research, altı büyük yapay zeka kodlama asistanını etkileyen GhostApproval adlı kritik bir güvenlik açığını ortaya çıkardı. Amazon Q Developer, Anthropic'in Claude Code'u, Augment, Cursor, Google Antigravity ve Windsurf'te bulunan bu açık, geliştiricilerin onay süreçlerini etkisiz hale getirerek kötü niyetli bir deponun hassas dosyalara yazmasına ve hatta uzaktan kod çalıştırmasına olanak tanıyor. Saldırı, sembolik linkler (symlink) kullanarak bir dosya yolunu gizlice başka bir hedefe yönlendiriyor.
Wiz'in 7 Temmuz'da yayınladığı kavram kanıtında (PoC), bir depo içindeki sembolik linkin masum bir dosya (örneğin project_settings.json) gibi görünüp aslında geliştiricinin SSH anahtarlarını hedef aldığı gösterildi. Geliştirici, asistandan 'çalışma alanını kur' veya README'yi takip etmesini istediğinde, ajan linki izleyerek saldırgan tarafından sağlanan anahtarı gerçek hedefe yazıyor ve şifresiz uzaktan erişim sağlıyor. Bu, geliştiricinin farkında olmadan kritik bir güvenlik ihlaline imza atması anlamına geliyor.
Wiz, GhostApproval'ın temelde bilgilendirilmiş onam mekanizmasını atlattığını belirtiyor. Bazı araçlarda, ajan dosyayı hassas bir konuma çözümlemesine rağmen onay diyalog kutusunda yalnızca zararsız dosya adı gösteriliyor. Bu nedenle geliştirici, aslında göremediği bir düzenlemeyi onaylamış oluyor. Bu tasarım kusuru, yapay zeka kodlama asistanlarının güven modelinde önemli bir zafiyet oluşturuyor.
Uzmanların Görüşleri
Wiz, 2026'nın başlarında GhostApproval'ı altı satıcıya bildirdi. Amazon, Google ve Cursor güvenlik açığını kabul ederek düzeltmeler yayınladı. Cursor, açığa CVE-2026-50549 numarasını atadı. Augment ve Windsurf ise raporu kabul etmelerine rağmen henüz bir düzeltme yayınlamadı, bu da kullanıcılarını potansiyel risk altında bırakıyor. Anthropic ise Claude Code'un davranışının bir güvenlik açığı olmadığını savunarak, bir dizine güvenen ve düzenlemeyi onaylayan kullanıcının bu kararın sorumluluğunu taşıdığını belirtti.
Önemli Gelişmeler
Wiz, GhostApproval'ı izole hatalardan ziyade sektörün henüz çözmediği bir tasarım sorunu olarak çerçeveliyor: Bir yapay zeka kodlama aracı, kullanıcıyı aldatıcı bir çalışma alanından korumalı mı, yoksa bu kararı kullanıcının yargısına mı bırakmalı? Araştırmacılar, satıcılara onay istemeden önce sembolik linkleri çözümlemelerini ve proje dışındaki yazma işlemlerini işaretlemelerini tavsiye ediyor. Augment veya Windsurf kullanan geliştiricilerin ise güncellemeleri takip etmeleri öneriliyor.
Sonuç ve Değerlendirme
Bu güvenlik açığı, yapay zeka kodlama asistanlarının geliştirici iş akışlarına entegrasyonunda ne kadar dikkatli olunması gerektiğini bir kez daha hatırlatıyor. Geliştiricilerin, araçların onay mekanizmalarına güvenmek yerine, hangi dosyaların değiştirildiğini manuel olarak kontrol etmeleri ve hassas dosyaların bulunduğu dizinlerde sembolik link kullanımına karşı dikkatli olmaları gerekiyor. Ayrıca, güncellemeleri takip etmek ve güvenlik yamalarını hızla uygulamak, bu tür saldırılara karşı en etkili savunma yöntemlerinden biri.
Kaynak: infosecurity-magazine.com