Yapay Zeka Ajanlarını Hedef Alan Kötü Amaçlı Yeteneklerden Korunma: SKILLCLOAK ve SKILLDETONATE Yazılım

Yapay Zeka Ajanlarını Hedef Alan Kötü Amaçlı Yeteneklerden Korunma: SKILLCLOAK ve SKILLDETONATE

HKUST araştırmacıları, AI kodlama ajanlarının yeteneklerini hedef alan kötü amaçlı yazılımları statik tarayıcılardan gizleyen SKILLCLOAK yöntemini ve

Hong Kong Bilim ve Teknoloji Üniversitesi (HKUST) araştırmacıları, yapay zeka (AI) kodlama ajanlarına yönelik 'yetenek' (skill) eklentilerini hedef alan yeni bir saldırı yöntemi geliştirdi. 'Cloak and Detonate' adlı çalışmada, SKILLCLOAK adlı araçla kötü amaçlı yeteneklerin statik tarayıcıları %90'ın üzerinde bir başarıyla atlatabildiği gösterildi. Bu yetenekler, Claude Code, OpenAI Codex ve OpenClaw gibi ajanlar tarafından yüklenen küçük dosya paketlerinden oluşuyor ve ajanın sahip olduğu dosyalara, terminale ve kayıtlı şifrelere erişebiliyor.

Araştırmacılar, SKILLCLOAK ile iki farklı gizleme tekniği kullandı: hafif yeniden yazma ve kendi kendini açan paketleme. Hafif yeniden yazma, tarayıcıların tespit ettiği karakterleri benzer görünümlü Unicode karakterlerle değiştiriyor veya komutları satır sonlarına bölerek tarayıcıyı yanıltıyor. Daha güçlü olan paketleme ise kötü amaçlı yükü, tarayıcıların genellikle atladığı .git/ gibi dizinlere gizliyor ve çalışma zamanında bir kod çözücü ile yeniden oluşturuyor. Bu teknik, sekiz farklı tarayıcıyı %90'dan fazla, çoğunu ise %99 oranında atlattı.

Saldırılara karşı araştırmacılar, SKILLDETONATE adlı bir çalışma zamanı denetleyicisi geliştirdi. Bu araç, yeteneği bir kum havuzunda çalıştırarak işletim sistemi seviyesinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. Hassas verileri içerik yerine akış yönüne göre takip ederek base64 veya şifreleme gibi gizleme yöntemlerini aşıyor. Testlerde, %97 saldırı tespit başarısı ve %2 yanlış alarm oranıyla statik tarayıcılardan daha iyi performans gösterdi. Ancak, her yetenek için birkaç dakika süren tarama süresi, statik tarayıcıların saniyeler süren işlemine göre daha yavaş.

Bu saldırılar teorik değil; kamuya açık pazarlarda halihazırda kötü amaçlı yetenekler bulunuyor. Bitdefender, bir pazardaki yeteneklerin %17'sinin gizli kötü amaçlı kod içerdiğini tespit ederken, Koi Security tek bir kampanyada 341 kötü amaçlı yetenek saydı. Unit 42, ClawHub'da beş kaçamak yetenek buldu; bunlardan biri tarayıcının boyut sınırını aşmak için README dosyasını 22 MB çöp veriyle dolduruyordu. Araştırmacılar, çalışmalarının henüz hakem değerlendirmesinden geçmediğini ve kodlarını açık kaynak olarak yayınladıklarını belirtti.

Paylaş: