GuardFall, Açık Kaynak Yapay Zeka Kodlama Aracılarını Onlarca Yıllık Kabuk Enjeksiyon Risklerine Açığa Çıkarıyor Linux

GuardFall, Açık Kaynak Yapay Zeka Kodlama Aracılarını Onlarca Yıllık Kabuk Enjeksiyon Risklerine Açığa Çıkarıyor

Bir yapay zeka kodlama aracısının tehlikeli bir komut çalıştırmasını engellemesi gereken güvenlik kontrolü, onlarca yıldır kamuoyuna açık olan bir mer...

Bir yapay zeka kodlama aracısının tehlikeli bir komut çalıştırmasını engellemesi gereken güvenlik kontrolü, onlarca yıldır kamuoyuna açık olan bir mermi hilesi kullanılarak doğrudan geçilebilir.

Adversa AI'nın GuardFall bypass adlı yeni araştırması, bunun firmanın test ettiği on bir popüler açık kaynak kodlama ve bilgisayar kullanım aracısından on tanesine karşı işe yaradığını ortaya çıkardı. Buna karşı savunmak için yalnızca "Devam Et" adı verilen bir şey inşa edildi.

Neden önemli? Bu aracılar, tam hesap erişiminizle kabuk komutlarını çalıştırır. Bubi tuzaklı bir depoya veya yazılım paketine odaklandığınızda gizli bir talimat, dosyaları silen veya SSH anahtarlarından bulut kimlik bilgilerine ve ana klasörünüzde bulunan her şeye kadar hesabınızın erişebileceği sırları çalan bir komutu sessizce çalıştırabilir.

Korumayı nasıl geçebilir?

Bu ajanların çoğu, her komutu çalıştırmadan önce tehlikeli kalıplardan oluşan bir engelleme listesine göre kontrol ederek güvende kalmaya çalışır. Buradaki kusur, komutu düz metin olarak kontrol etmeleri, oysa bash'ın bu metni gerçekten çalıştırılmadan önce yeniden yazmasıdır. Kabuk, kısayolları alıntılar ve genişletir, böylece filtre ve kabuk iki farklı şeye bakar.

En basit örnek: rm'yi izleyen bir filtre r''m'de yanlış bir şey görmez, çünkü bir metin eşleştirici için bunlar farklı dizelerdir. Bash boş tırnak işaretlerini kaldırır ve yine de rm'yi çalıştırır.

Aynı fikir başka şekillerde de işe yarar: base64'te gizlenen ve bir kabuğa aktarılan bir komut veya find ve dd gibi sıradan araçlar, doğru bayrakla yıkıcı hale geldi.

Araştırmacılar bunu bir hata değil, "tehlikeli bir gelenek ve bir dizi sorun" olarak adlandırıyor; bu nedenle daha fazla engelleme listesi modeli eklemek bunların hiçbirini çözmez. İzlenecek veya yamalanacak tek bir CVE yoktur.

Bir saldırının inmesi için iki şeyin aynı hizada olması gerekir ve ikisi de egzotik değildir.

Öncelikle yapay zekanın kötü amaçlı komutu üretmesi gerekiyor. Açıkça söylenen "rm -rf komutunu çalıştır" genellikle reddedilir, ancak bir derleme dosyası veya bir aracın "belgeleme" yanıtı gibi normal görünen çalışmanın içine gizlenen aynı komut, rutin bir adım olarak yayınlanır.

İkincisi, aracının, otomatik yürütme bayrağı açık veya konteyner sanal alanı kapalı olarak kendi başına çalışması gerekir; bunların her ikisi de otomatik işlem hatlarında rutindir. Canlı testlerde Claude Sonnet 4.6 kullanıldı.

Diğer on aracın tümü boşluğu açık bıraktı: opencode, Goose, Cline, Roo-Code, Aider, Plandex, Open Interpreter, OpenHands, SWE-agent ve hatanın ilk kez ortaya çıktığı ve Hermes'in kendi sorun izleyicisinde belgelendiği Hermes projesi.

Adversa'nın anketindeki araçlar, Mayıs 2026 itibarıyla yaklaşık 548.000 GitHub yıldızını taşıyordu. Adversa, üretimdeki Plandex ikili programına karşı uçtan uca tam saldırıyı gösterdi ve aynı şekil diğer sekiz programa karşı da işe yaradı. Çalışmayı laboratuvar araştırması olarak tanımlıyor; hiçbir kamu istismarı bildirilmemiştir.

Devam eden tek ajan, karar vermeden önce bash'ın yapacağı gibi komutu okuyarak savunur: komutu kabuğun yapacağı parçalara böler, gerçekte neyin çalıştığını kontrol eder ve tamamen engellenen yıkıcı komutların sert bir listesini tutar.

Bu koruma Continue'nun varsayılan düzenleyici modundaki her yüke karşı korunur. Komut satırı otomatik çalıştırma modu daha zayıf: birkaç yük kayıp gitti, ancak en yıkıcı olanlar hala sert bloğa çarpıyor. Adversa, tasarımı taşınabilir olarak nitelendiriyor ve yeniden uygulamanın deneyimli bir mühendis için yaklaşık iki günlük bir iş olduğunu söylüyor.

Şimdi ne yapmalı

Hızlı düzeltmelerin hiçbiri tam bir çözüm değildir, ancak uygun bir koruma sağlanana kadar maruziyetinizi azaltırlar:

Aracıları $HOME ile tek kullanımlık bir klasörü işaret ederek çalıştırın, böylece ~/.ssh ve ~/.aws gibi sırlara erişilemez.

İş gerçekten bir insan için duraklatılamadığı sürece --auto-exec, --auto-run, --auto-test ve tehlikeli bir şekilde atlama izinleri gibi otomatik yürütme işaretlerini kapatın.

Ajanların, saldırganın dosyasından sırlarınıza giden kolay yol olan çatallardan gelen çekme istekleriyle çalışmasına izin vermeyin.

.aider.conf.yml gibi bir depo içinde gönderilen yapılandırma dosyalarını güvenilmeyen kod olarak değerlendirin; Kötü niyetli bir kişi, kabul edilen ilk düzenlemede saldırıyı tetikleyebilir.

GuardFall toprakları

bu yıl benzer bulguların ortasında. Adversa'nın kendi TrustFall'ı Claude Code, Cursor, Gemini CLI ve Copilot CLI'yi vurdu ve ayrı bir reddetme kuralı bypass'ı Claude Code'u vurdu.

AutoJack ve Agentjacking gibi saldırılar, zehirli içeriği, bir aracının sahibinin ayrıcalıklarıyla çalıştırdığı komutlara dönüştürdü. Ortak konu basittir: güvenilmeyen metin, güvenlik görevlisi gerçekte hangi bash'ın çalışacağını anlamadan önce gerçek bir kabuğa ulaşmaya devam eder.

Paylaş: