Yapay Zeka Ajanlarının Kötü Amaçlı Yetenekleri Tespit Sistemlerini Atlatabilir Linux

Yapay Zeka Ajanlarının Kötü Amaçlı Yetenekleri Tespit Sistemlerini Atlatabilir

AI kodlama ajanları için marketlerden indirilen yetenekler, kötü amaçlı yazılımların girmesi için yeni bir kapı aralıyor. Araştırmacılar, statik taray

Yapay zeka kodlama ajanları, geliştiricilerin iş akışlarını hızlandırmak için giderek daha fazla kullanılıyor. Claude Code veya OpenAI Codex gibi araçlar, yeni yetenekler kazanmak için kamuya açık marketlerden 'ajan yetenekleri' (agent skills) adı verilen eklentileri indiriyor. Bu yetenekler, düz metin komutları, betikler ve dosyalardan oluşan küçük paketler halinde sunuluyor. 2025'in sonlarında ortaya çıkan bu format, kısa sürede 40.000'den fazla yeteneğin listelendiği bir market oluşturdu. Çoğu topluluk tarafından geliştirildi ve hiçbiri denetlenmedi.

Bu kolaylık, eski ve tanıdık bir faturayı da beraberinde getiriyor: güvenlik. Bir yetenek yüklendiğinde, ajanın tüm ayrıcalıklarıyla çalışır. Bu ayrıcalıklar, geliştiricinin dosyalarına, kimlik bilgilerine, paket yöneticilerine, terminallerine ve dış hizmetlere erişim sağlar. Zehirli bir paket, tüm bunları kimlik bilgilerini çalmak, kaynak kodunu sızdırmak veya bir arka kapı yerleştirmek için kullanabilir. Tehlikeli kısım, doğrudan talimatlarda gizlenebilir, bir betiğin içine saklanabilir veya her ikisine de yayılabilir.

Bu tür saldırılar zaten gerçekleşti. ClawHavoc adlı bir kampanya, tek bir markete 300'den fazla kötü amaçlı yetenek yerleştirdi. Talimat dosyaları, ajana rutin bir kurulum adımı gibi görünen bir bilgi hırsızı indirmesini ve çalıştırmasını söylüyordu. Ardından hırsız, tarayıcı kimlik bilgileri, anahtarlık şifreleri, SSH anahtarları ve kripto para cüzdanları gibi hassas verileri toplamaya başlıyordu.

Şu ana kadar savunma, yetenek tarayıcılarına dayanıyor. Bu araçlar, bir paketi yükleme anında kontrol ediyor ve engelleme veya izin verme kararı veriyor. Bazıları dosyaları regex, YARA veya AST kurallarıyla tararken, diğerleri okunabilir içeriği bir dil modeline besleyip ne düşündüğünü soruyor. Hong Kong Bilim ve Teknoloji Üniversitesi'ndeki araştırmacılar, bu tarayıcıların ne kadar etkili olduğunu test etmek için SkillCloak sistemini geliştirdi. SkillCloak, bir yeteneğin kötü niyetli davranışını tamamen korurken yalnızca görünümünü değiştiriyor.

Sistem Güvenliği

SkillCloak'ın iki hilesi var. İlki, şüpheli komut belirteçlerini, kimlik bilgisi yollarını ve URL'leri, ajanın çalışma zamanında sessizce yeniden birleştireceği eşdeğer biçimlere yeniden yazıyor. İkincisi, gerçek yükü tarayıcının atladığı bir dizine dolduruyor, temiz görünen bir kapak gönderiyor ve ajan yeteneği çalıştırdığında orijinali yeniden oluşturuyor. Deneyde, 1.613 gerçek kötü amaçlı yetenek üzerinde yapılan testlerde paketleme hilesi tüm tarayıcıları %90'ın üzerinde atlatırken, yeniden yazma hilesi statik tarayıcıların %80'inden fazlasını geçti.

Araştırmacılar, farklı bir savunma yaklaşımı olan SkillDetonate'ı da geliştirdi. Bu araç, şüpheli bir yeteneği bir kum havuzunda çalıştırıyor ve işletim sistemi sınırında ne yaptığını izliyor. Kimlik bilgisi hırsızlığı hassas bir şey okumayı ve bir yere göndermeyi gerektirir. Bir yük indirici, bir yükü yazmak veya çalıştırmak zorundadır. Bu hareketler, paket masum görünse bile sistem çağrıları olarak ortaya çıkar. SkillDetonate, sentetik testlerde saldırıların %97'sini yakalarken, gerçek dünya kötü amaçlı yeteneklerinde bu oran %87'de kaldı. Ancak en iyi statik tarayıcı, SkillCloak'ın yeniden yazma hilesi karşısında %99'dan %10'a düştü.

SkillDetonate'ın bir sınırlaması var: yalnızca ajanın çalıştırmaya karar verdiği davranışı görüyor. Ajanın atladığı bir talimatın arkasında bekleyen bir yük asla ateşlenmez ve kum havuzu tarafından tespit edilemez. Akıllı bir saldırgan, analiz sırasında ajana yönlendirme enjeksiyonu yaparak onu kötü niyetli yoldan saptırabilir. Ayrıca, her bir yeteneğin patlatılması yaklaşık iki buçuk dakika sürüyor, bu da statik taramadan birkaç kat daha uzun. Ancak bu süre, yükleme anında çalışan bir kapı için, bayt düzeyindeki araçların verdiği kapsamı satın alıyor.

Teknik Analiz

Bu hikaye, onlarca yıllık kötü amaçlı yazılım savunmasıyla benzerlik gösteriyor. Bayt düzeyindeki inceleme, davranışı koruyup sarmalayıcıyı değiştiren saldırganlara karşı kaybeder. Çözüm, kodun çalışırken ne yaptığını izlemektir. Ajan yetenekleri, bu savaşı bir İngilizce cümlenin silah olabildiği ve saldırıyı gerçekleştiren şeyin bazen konuşarak ikna edilebilen bir model olduğu yeni bir alana taşıyor.

Kaynak: helpnetsecurity.com

Paylaş: