Yapay Zeka Ajanlarına Yönelik Kötü Amaçlı Yetenekler Statik Tarayıcıları Aşmak İçin Kendini Paketleme Kullanıyor Yazılım

Yapay Zeka Ajanlarına Yönelik Kötü Amaçlı Yetenekler Statik Tarayıcıları Aşmak İçin Kendini Paketleme Kullanıyor

Araştırmacılar, AI ajan yeteneklerini statik tarayıcılardan gizleyen SkillCloak yöntemini ve buna karşı çalışma zamanı denetimi yapan SkillDetonate'i

Hong Kong Bilim ve Teknoloji Üniversitesi'nden araştırmacılar, yapay zeka (AI) kodlama ajanlarına yönelik kötü amaçlı 'yetenek' eklentilerini tespit etmek için tasarlanan tarayıcıların, basit değişikliklerle nasıl kolayca atlatılabildiğini gösteren bir çalışma yayınladı. 'Cloak and Detonate' başlıklı makalede, araştırmacıların geliştirdiği SkillCloak adlı araç, kötü amaçlı bir yeteneği, davranışını değiştirmeden temiz görünecek şekilde yeniden yazabiliyor. En güçlü yöntemleri olan kendini paketleme tekniği, test edilen sekiz tarayıcının tamamını %90'ın üzerinde, çoğunu ise %99'dan fazla başarıyla atlattı. Bu teknik, kötü amaçlı yükü tarayıcının atladığı .git/ gibi dizinlere gizleyerek, ajan çalıştırıldığında yeniden oluşturuyor.

SkillCloak'ın iki ana yaklaşımı bulunuyor: Hafif yöntem, tarayıcının aradığı kalıpları değiştirmek için karakter benzerlerini kullanma veya komutları yeni satıra bölme gibi operatörler kullanıyor. Ağır yöntem ise tüm yükü, tarayıcının zaman kazanmak için atladığı dizinlere gizleyen kendini paketleme tekniği. Araştırmacılar, ClawHub adlı halka açık pazardan alınan 1.613 gerçek kötü amaçlı yetenek üzerinde yaptıkları testlerde, paketleme yönteminin tüm tarayıcılardan %90'ın üzerinde, çoğundan ise %99'dan fazla kaçmayı başardığını tespit etti. Hafif yeniden yazma ise çoğu tarayıcıda %80'in, birinde %96'nın üzerinde başarı sağladı.

Görünümün taklit edilebildiğini fark eden araştırmacılar, bunun yerine davranışı kontrol etmeyi öneriyor. Geliştirdikleri SkillDetonate aracı, yeteneği bir kum havuzunda çalıştırarak işletim sistemi seviyesinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. Bu yaklaşım, hassas verileri şifrelenmiş olsa bile akış yönüyle takip ediyor ve kendini paketleme gibi çalışma zamanında ortaya çıkan tehditleri yakalıyor. Kontrollü testlerde SkillDetonate, saldırıların %97'sini tespit ederken güvenli yeteneklerin yalnızca %2'sini yanlış işaretledi. Ancak her bir yetenek için birkaç dakika süren bu yöntem, tarayıcılara göre daha yavaş.

Bu tehdit teorik değil; Bitdefender, bir pazardaki yeteneklerin yaklaşık %17'sinin gizli kötü amaçlı kod içerdiğini, Koi Security ise ClawHavoc adlı bir kampanyada 341 kötü amaçlı yetenek tespit etti. Unit 42, ClawHub'da hâlâ aktif olan beş kaçamak yetenek buldu; bunlardan biri tarayıcının boyut sınırını aşmak için 22 MB'lık gereksiz veri eklerken, ikisi Mac şifre hırsızı, ikisi ise finansal tavsiyeleri manipüle eden bağlantılar içeriyordu. GitHub depoları ve Model Context Protocol gibi diğer alanlarda da benzer güvenlik açıkları gözlemlendi. Araştırmacılar, çalışmanın ön baskı olduğunu ve henüz hakem değerlendirmesinden geçmediğini, ancak bulguların statik tarayıcılara güvenmenin yetersiz olduğunu gösterdiğini vurguluyor.

Paylaş: