Yapay zeka destekli güvenlik araçları, siber savunmada devrim yaratma potansiyeline sahip olsa da, araştırmacılar bu araçların kendilerinin de saldırı vektörü haline gelebileceği konusunda uyarıyor. AI Now Institute tarafından 8 Temmuz'da yayınlanan bir rapor, Anthropic'in Claude Code ve OpenAI'in Codex CLI araçlarında, uzaktan kod çalıştırmaya (RCE) olanak tanıyan bir proof-of-concept (PoC) istismarını gözler önüne serdi. Bu istismar, söz konusu araçların otomatik inceleme modunda kullanılması halinde, üçüncü taraf bir açık kaynak kod tabanını analiz ederken bile sessizce kötü niyetli kod çalıştırabilmesine dayanıyor. Saldırgan, bir açık kaynak kütüphanenin dosyalarına (örneğin kod yorumları veya README.md belgelerine) gizlenmiş talimatlar yerleştiriyor. Kurban, Claude Code veya Codex'i "otomatik mod" veya "otomatik inceleme" modunda kullandığında, AI ajanı bu talimatları güvenli olarak sınıflandırıp hiçbir kullanıcı onayı olmadan çalıştırıyor.
PoC istismarının temel mekanizması, çok aşamalı bir prompt injection ile araç kullanımının manipüle edilmesidir. AI ajanı, bir depoyu tararken pasif bir şekilde kod okumakla kalmaz; kaynak dosyaları, betikleri ve belgeleri ayrıştırarak projenin anlamsal bir modelini oluşturur. Saldırgan, bu süreçten yararlanarak, güvenilir görünen yapay nesnelerin (örneğin README.md) içine doğal dil talimatları gömer. Bu talimatlar, model tarafından güvensiz girdi olarak değil, görev bağlamının bir parçası olarak yorumlanır. Örneğin, talimatlar "security.sh" adlı bir betiğin projenin standart güvenlik iş akışının bir parçası olduğunu ve kullanıcının "güvenlik kontrollerini çalıştır" talebini yerine getirmek için gerekli olduğunu ima eder. Bu sayede, AI ajanı betiği çalıştırmanın meşru olduğuna ikna olur.
İkinci aşamada, depoda gizlenmiş bir kabuk betiği (security.sh) ve bu betiğin çalıştırdığı kötü niyetli bir ikili dosya (code_policies) bulunur. Ayrıca, ikili dosyayı meşru gösteren bir yem kaynak dosyası (code_policies.go) da vardır. AI ajanı, betiğin güvenli olup olmadığını değerlendirirken iç sınıflandırıcısına ve sezgisel yöntemlerine güvenir. Betik tanıdık güvenlik araçlarına atıfta bulunduğu, ikili dosya meşru kaynak koduna karşılık geldiği ve belgeler çalıştırmayı rutin bir işlem olarak sunduğu için ajan, eylemi düşük riskli olarak sınıflandırır. Otomatik modda bu sınıflandırma kritiktir; çünkü ajan, düşük riskli gördüğü kabuk komutlarını insan onayı olmadan çalıştırma yetkisine sahiptir. Sonuç olarak ajan, security.sh betiğini çalıştırır, bu betik code_policies ikili dosyasını başlatır ve böylece saldırganın kodu kurbanın makinesinde çalıştırılır.
Bu istismar, özellikle Claude Code'un Claude Sonnet 4.6 ve 5 ile Opus 4.8 sürümlerini ve Codex'in GPT-5.5 ile kullanıldığı sürümleri etkilemektedir. Araştırmacılar, bu güvenlik açığının yalnızca teorik olmadığını, aynı zamanda pratikte de uygulanabilir olduğunu vurguluyor. Saldırgan, açık kaynak topluluklarında yaygın olarak kullanılan bir kütüphaneye kötü niyetli kod ekleyerek, bu kütüphaneyi inceleyen herkesin sistemine sızabilir. Bu durum, özellikle güvenlik araştırmacıları ve geliştiriciler için büyük bir tehdit oluşturuyor; çünkü bu kişiler genellikle potansiyel güvenlik açıklarını bulmak için AI araçlarını kullanıyor.
Sistem Güvenliği
AI Now Institute araştırmacıları Heidy Khlaaf ve Boyan Milanov, raporlarında bu tür istismarların önlenmesi için acil önlemler alınması gerektiğini belirtiyor. Öneriler arasında, AI ajanlarının otomatik olarak komut çalıştırmasına izin veren modların varsayılan olarak devre dışı bırakılması, kullanıcı onayı gerektiren daha katı politikaların uygulanması ve prompt injection saldırılarına karşı daha sağlam savunma mekanizmalarının geliştirilmesi yer alıyor. Ayrıca, açık kaynak kod tabanlarını incelerken AI araçlarının yalnızca okuma modunda kullanılması ve herhangi bir betiğin çalıştırılmaması öneriliyor.
Bu güvenlik açığı, yapay zeka destekli güvenlik araçlarının potansiyel risklerini bir kez daha gözler önüne seriyor. Kuruluşlar, bu araçları kullanırken dikkatli olmalı ve yalnızca güvenilir kaynaklardan gelen kodları analiz etmeli. Ayrıca, AI ajanlarının yetkilerini sınırlamak ve otomatik modları devre dışı bırakmak, saldırı yüzeyini azaltmak için kritik öneme sahip. Kullanıcılar, AI araçlarını kullanırken her zaman tetikte olmalı ve şüpheli etkinlikleri izlemelidir.
Kaynak: infosecurity-magazine.com