Yapay Zeka Ajanları için Geliştirilen SkillCloak: Kötü Amaçlı Yetenekleri Statik Tarayıcılardan Gizleyen Yeni Bir Tehdit Siber Güvenlik

Yapay Zeka Ajanları için Geliştirilen SkillCloak: Kötü Amaçlı Yetenekleri Statik Tarayıcılardan Gizleyen Yeni Bir Tehdit

SkillCloak, AI ajanlarının yeteneklerini statik tarayıcılardan gizleyerek kötü amaçlı kodların tespit edilmesini engelliyor.

Yapay zeka kodlama ajanlarının yeteneklerini hedef alan yeni bir araştırma, mevcut güvenlik tarayıcılarının ne kadar kırılgan olduğunu ortaya koyuyor. Hong Kong Bilim ve Teknoloji Üniversitesi araştırmacıları tarafından geliştirilen SkillCloak adlı araç, kötü amaçlı yetenekleri statik tarayıcılardan gizleyerek yüksek başarı oranıyla tespit edilmekten kurtulabiliyor. Araştırmacıların en güçlü tekniği, test edilen her tarayıcıyı %90'ın üzerinde bir başarıyla atlatırken, aynı ekip tarayıcıların kaçırdığı gizlenmiş yeteneklerin çoğunu yakalayan bir çalışma zamanı denetleyicisi de geliştirdi.

Yetenekler, Claude Code, OpenAI Codex ve OpenClaw gibi ajanların yeni bir yetenek kazanmak için yüklediği küçük paketlerdir. Genellikle bir Markdown talimat dosyası ve birkaç betikten oluşan bu paketler, ajanın sahip olduğu erişimle çalışır: dosyalarınız, terminaliniz ve kayıtlı şifreleriniz gibi hassas verilere erişebilir. Kötü amaçlı bir yetenek, kimlik bilgilerinizi çalabilir, kaynak kodunuzu kopyalayabilir veya arka kapı kurabilir. Kamusal pazarlarda listelenen yeteneklerin çoğu, çok az denetimle yabancılar tarafından yüklenmektedir.

Şu ana kadar ana savunma mekanizması, bir yeteneği yüklemeden önce dosyalarını okuyan ve tehlikeli görünenleri engelleyen yetenek tarayıcılarıydı. Ancak 'Cloak and Detonate' başlıklı makale, bu tarayıcıların aslında ne kadar etkisiz olduğunu gösteriyor. Araştırmacıların geliştirdiği SkillCloak, kötü amaçlı bir yeteneği temiz görünürken aynı davranışı sergileyecek şekilde yeniden yazıyor. İki farklı yöntem kullanılıyor: hafif yöntemde, tarayıcının odaklandığı baytları değiştirmek için karakterleri başka alfabelerden benzerleriyle değiştirme veya işaretlenmiş bir komutu yeni satıra bölme gibi işlemler yapılıyor.

Sonuç ve Değerlendirme

Daha ağır yöntem olan kendi kendini açan paketleme ise tüm yükü tarayıcının atladığı bir dizine (örneğin .git/) taşıyor ve zararsız görünen bir kod çözücüyle birlikte geliyor. Bu kod çözücü, yetenek yalnızca ajan tarafından çalıştırıldığında yükü yeniden oluşturuyor. Tarayıcılar, zaman kazanmak ve yanlış alarmları azaltmak için bu tür dizinleri atlar, bu da tekniğin sömürdüğü kör noktayı oluşturuyor. Sekiz tarayıcı ve ClawHub'dan alınan 1.613 gerçek kötü amaçlı yetenek üzerinde yapılan testlerde, paketleme yöntemi her tarayıcıyı %90'ın, çoğunu %99'un üzerinde bir başarıyla atlattı.

Detaylar ve Etkileri

Görünüş taklit edilebildiği için araştırmacılar, bunun yerine davranışı kontrol etmeyi öneriyor. Geliştirdikleri SKILLDETONATE aracı, yeteneği bir kum havuzunda çalıştırıyor ve işletim sistemi düzeyinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. İki fikir bu aracı ajanlar için etkili kılıyor: hassas verileri görünümünden ziyade akışına göre takip ediyor, böylece base64 veya şifreleme onu yanıltmıyor; ve yeteneğin yalnızca çalışma zamanında oluşturduğu talimatları çalıştırıyor, bu da paketleme yönteminin yükünü gizlediği nokta. Testlerde, denetleyici saldırıların %97'sini yakalarken güvenli yeteneklerin yalnızca %2'sini yanlış işaretledi.

Nasıl Önlem Alınmalı?

Bu tehditler teorik değil. Kamusal pazarlar zaten tarayıcıların durduramadığı kötü amaçlı yeteneklerle dolu. Bitdefender, bir pazarda kontrol ettiği yeteneklerin yaklaşık %17'sinde gizli kötü amaçlı kod buldu. Koi Security ise ClawHavoc adını verdiği tek bir kampanyada 341 yetenek tespit etti. Unit 42, ClawHub'da hala canlı olan beş kaçamak yetenek buldu; bunlardan biri tarayıcının boyut sınırını aşmak için README dosyasını 22 MB çöp veriyle şişirmişti. İkisi Mac şifre hırsızı, ikisi ise ajanın finansal tavsiyelerini ele geçirerek bağlı kuruluş bağlantıları ve meme-coin lansmanları için kullanıyordu.

Çalışma zamanı açığı, yetenek pazarlarının dışında da kendini gösteriyor. Temiz görünen bir GitHub deposu, Claude Code'u geliştiricinin kendi makinesinde ters kabuk açmaya yönlendirdi. Kötü amaçlı kod hiçbir zaman depoda bulunmuyordu; kurulum betiği onu çalışma zamanında bir DNS kaydından çekiyordu, bu nedenle statik taramanın yakalayacak bir şeyi yoktu. Mozilla'nın 0DIN ekibi bu zinciri takip etti. İlgili bir başka başarısızlık, ajanların Model Context Protocol aracılığıyla okuduğu araç açıklamalarını hedef alıyor. Microsoft, onaylandıktan sonra değiştirilen zehirli bir açıklamanın bir finans ajanını ödenmemiş faturaları sızdırmaya yönlendirdiği konusunda uyardı.

Gelecekte Ne Bekleniyor?

SkillCloak'ın bazı sınırlamaları var. Henüz kimse bu paketleme yöntemlerini büyük ölçekte kullanan saldırganlar yakalamadı; gerçek dünya örnekleri benzer kaçamaklar, SkillCloak'ın kendisi değil. Çalışma zamanı denetleyicisi bir araştırma prototipi; laboratuvarda güçlü olsa da canlı bir pazarda veya aktif olarak kaçmaya çalışan bir saldırgan altında test edilmedi. Tüm performans rakamları, henüz hakem denetiminden geçmemiş bir makaleden alınmıştır. Yine de, bu çalışma AI ajan güvenliğinde statik taramanın yetersiz kaldığını ve davranışsal analizin önemini vurguluyor. Geliştiricilerin, yetenekleri yüklerken daha dikkatli olmaları ve çalışma zamanı güvenlik önlemlerini uygulamaları gerekiyor.

Kaynak: thehackernews.com

Paylaş: