Kuruluşlar, güvenlik açıklarını otomatik olarak tespit etmek ve yama yönetimini hızlandırmak için Anthropic ve OpenAI destekli ajanları kullanmaya başladı. Ancak AI Now Institute tarafından yayımlanan yeni bir rapor, bu araçların geniş erişim yetkilerinin, onları potansiyel birer saldırı vektörüne dönüştürebileceğini ortaya koydu. Baş AI bilimci Heidy Khlaaf ve kıdemli araştırma bilimci Boyan Milanov, Anthropic'in Claude Code ve OpenAI'in Codex adlı AI destekli komut satırı arayüzlerinde, uzaktan kod çalıştırmaya (RCE) olanak tanıyan bir proof-of-concept (PoC) istismarı geliştirdi.
İstismar, Claude Code'un Claude Sonnet 4.6 ve 5 ile Opus 4.8 sürümlerini ve Codex'in GPT-5.5 ile kullanıldığı versiyonlarını etkiliyor. Araştırmacılara göre, bu araçlar bir kullanıcının üçüncü taraf bir açık kaynak kod tabanını incelemesi veya analiz etmesi sırasında manipüle edilebiliyor. Oysa bu tür bir kullanım, güvenlik uzmanları tarafından sıklıkla önerilen bir savunma yöntemi olarak görülüyor. Yani, güvenlik için kullanılan bir araç, farkında olmadan saldırganın elinde bir silaha dönüşebiliyor.
PoC istismarının temel mekanizması, çok aşamalı bir prompt injection (istem enjeksiyonu) saldırısıdır. Saldırgan, açık kaynak bir kütüphanenin dosyalarına (örneğin kod yorumları veya dokümantasyon) kötü niyetli talimatlar gizler. Bu talimatlar, AI'ın komutları yorumlama biçimini manipüle edecek şekilde tasarlanır. Ardından, kurban Claude Code veya Codex'i 'otomatik mod' veya 'otomatik inceleme modu'nda kullanır. Bu modlar, AI'ın güvenli olarak değerlendirdiği komutları insan onayı olmadan otomatik olarak çalıştırır ve yalnızca riskli olarak işaretlenenleri durdurur. Enjekte edilen talimatlar, AI'ın karar mekanizmasını kandırarak kötü niyetli komutları zararsız veya rutin olarak sınıflandırmasını sağlar.
Önemli Gelişmeler
Saldırının ikinci aşamasında, depoda gizlenen bir shell script (örneğin security.sh) ve onunla birlikte çalışan kötü amaçlı bir binary dosya bulunur. Script, tanıdık güvenlik araçlarını (linter veya statik analizörler) çalıştırıyormuş gibi görünür. Ayrıca, binary dosyanın meşru görünmesi için bir decoy kaynak dosyası (code_policies.go) eklenir. AI ajanı, depoyu tararken script'in güvenlik iş akışının bir parçası olduğunu düşünür ve hedefe ulaşmak için gerekli olduğuna karar verir. Bu noktada, AI'ın dahili sınıflandırıcısı ve sezgisel yöntemleri, script'i düşük riskli olarak etiketler. Otomatik modda bu sınıflandırma kritik öneme sahiptir çünkü ajan, düşük riskli kabul edilen shell komutlarını insan onayı olmadan çalıştırma yetkisine sahiptir.
Sistem Güvenliği
Sonuç olarak, AI ajanı otonom bir şekilde şu adımları gerçekleştirir: security.sh script'ini çalıştırmaya karar verir, aracının shell arayüzü üzerinden script'i yürütür, script dolaylı olarak kötü amaçlı binary'i başlatır ve böylece kurbanın sisteminde keyfi kod çalıştırılmasını tetikler. Kurban, AI'ın sadece pasif olarak kod tabanını taradığını zannederken, aslında saldırganın kodu makinesinde çalışmaktadır. Bu, uzaktan kod çalıştırma anlamına gelir ve saldırgana sistem üzerinde tam kontrol sağlayabilir.
Gelecekte Ne Bekleniyor?
Bu güvenlik açığı, AI destekli güvenlik araçlarının kullanımında dikkatli olunması gerektiğini gösteriyor. Araştırmacılar, özellikle üçüncü taraf kod tabanlarının otomatik modda taranmasının riskli olduğunu vurguluyor. Kullanıcıların, AI ajanlarının yetkilerini sınırlaması, otomatik mod yerine manuel onay mekanizmalarını tercih etmesi ve güvenilmeyen kaynaklardan gelen kodları incelemeden önce dikkatli olması öneriliyor. Ayrıca, AI modellerinin prompt injection saldırılarına karşı daha dirençli hale getirilmesi için ek güvenlik katmanları geliştirilmesi gerekiyor.
Kaynak: infosecurity-magazine.com