Ghostcommit Saldırısı: Yapay Zeka Kod İnceleme Araçları Görsellerdeki Gizli Kötü Amaçlı Talimatlarla Kandırılıyor Siber Güvenlik

Ghostcommit Saldırısı: Yapay Zeka Kod İnceleme Araçları Görsellerdeki Gizli Kötü Amaçlı Talimatlarla Kandırılıyor

Ghostcommit, AI kod asistanlarının PNG görsellerine gömülü gizli talimatlarla nasıl kandırılabileceğini gösteren bir kanıt niteliğinde.

Yapay zeka destekli kod inceleme araçlarının yaygınlaşması, yazılım geliştirme süreçlerini hızlandırırken beraberinde yeni güvenlik risklerini de getiriyor. Akademik ASSET Araştırma Grubu tarafından geliştirilen Ghostcommit adlı kavram kanıtı, AI kod asistanlarının görsel dosyalara gömülü kötü amaçlı talimatlarla nasıl manipüle edilebileceğini ortaya koyuyor. Bu saldırı, geliştiricilerin rutin iş akışlarını hedef alarak hassas bilgilerin sızdırılmasına yol açabiliyor.

Ghostcommit saldırısının temelinde, bir görsel dosyaya (örneğin PNG) gizlenmiş talimatlar yer alıyor. Saldırgan, bu görseli ve bir AGENTS.md yapılandırma dosyasını bir çekme isteğine (pull request) ekliyor. Yapılandırma dosyası, AI ajanına bu görsele güvenmesi gerektiğini belirtiyor. İnsan incelemeciler kod satırlarını kontrol ederken genellikle görsellere bakmazken, AI ajanı gizli talimatları okuyor ve daha sonraki bir görev sırasında bu talimatları uyguluyor. Bu sayede, sıradan bir çekme isteği, hassas dosyaları okuyup sırları gizlenmiş bir biçimde koda yazan bir kanala dönüşüyor.

Araştırmacılar, saldırının başarısında AI modelinin kendisinden çok, modelin etrafındaki 'koşum takımının' (harness) belirleyici olduğunu tespit etti. Koşum takımı, hangi dosyaların yükleneceğine, hangi kurallara güvenileceğine, hangi güvenlik önlemlerinin uygulanacağına ve görsel içindeki talimatların izlenip izlenmeyeceğine karar veriyor. Cursor, Antigravity ve Claude Code gibi farklı kodlama araçları, aynı AI modelini çok farklı şekilde yönlendirebiliyor.

Örneğin, Claude Sonnet modeli Cursor ve Antigravity altında çalışırken PNG dosyasını okuyup gizli talimatları takip ederek sırları kaynak koduna yazarken, Anthropic'in Claude Code koşum takımı altında aynı model talimatları reddediyor ve sırları sızdırmanın uygunsuz olduğunu belirtiyor. Claude Code, test edilen tüm modellerde bu güvenli davranışı sergiliyor. Bu durum, kodlama aracının güvenlik politikalarının AI modelinin davranışını nasıl şekillendirdiğini gösteriyor.

Teknik Analiz

Ghostcommit saldırısı, prompt enjeksiyonunun artık sadece metin tabanlı bir sorun olmadığını kanıtlıyor. Görsel, ses ve diğer çoklu ortam girdileri de AI ajanlarının okuyup uygulayabileceği talimatlar taşıyabiliyor. Bu nedenle, kuruluşlar AI kodlama araçlarının okuyabileceği her türlü girdinin (resimler, belgeler vb.) saldırgan kontrolündeki içerikler içerebileceğini varsaymalı ve güvenlik önlemlerini buna göre almalı.

Güvende kalmak için en önemli adımlar: hassas bilgilere erişimi kısıtlamak, metin olmayan ekleri incelemek ve AI ajanlarının kimlik bilgileri veya yapılandırma dosyalarını okuma girişimlerini izlemek. Ayrıca, kod inceleme araçlarının güvenlik politikalarını düzenli olarak gözden geçirmek ve AI modelinin değil, kullanılan aracın güvenlik açıklarını kapatmaya odaklanmak gerekiyor. Bu yeni tehdit, yazılım tedarik zinciri güvenliği ve AI ajan güvenliğinin kesiştiği noktada ele alınmalı.

Kaynak: malwarebytes.com

Paylaş: