Kuruluşlar, güvenlik açıklarını tespit etmek ve yama yönetimini otomatikleştirmek için Anthropic ve OpenAI destekli yapay zeka ajanlarına yöneldikçe, araştırmacılar bu araçların gerektirdiği kapsamlı erişimin onları potansiyel saldırı vektörlerine dönüştürebileceği konusunda uyarıyor.
AI Now Enstitüsü tarafından 8 Temmuz'da yayınlanan yeni bir rapor, baş yapay zeka bilimcisi Heidy Khlaaf ve kıdemli araştırma bilimcisi Boyan Milanov tarafından hazırlandı. Raporda, en çok kullanılan yapay zeka destekli komut satırı arayüzlerinden (CLI) ikisi olan Anthropic'in Claude Code ve OpenAI'in Codex'inde uzaktan kod çalıştırmaya olanak tanıyan bir proof-of-concept (PoC) sömürüsü gösterildi.
Bu sömürü, Claude Sonnet 4.6 ve 5 ile Opus 4.8 kullanıldığında Claude Code'u ve GPT-5.5 ile kullanıldığında Codex'i etkiliyor. Araçlar, yaygın olarak önerilen bir savunma kullanım durumu olan bir üçüncü taraf açık kaynak kod tabanını incelemeleri veya analiz etmeleri yoluyla kullanıcının makinesinde kötü amaçlı kod çalıştırmaya manipüle edilebiliyor.
PoC sömürüsü, hayali bir saldırganın, yapay zekanın komutları nasıl yorumladığını manipüle etmek için tasarlanmış şekilde, kod yorumları veya belgeler gibi dosyaların içine kötü niyetli talimatlar gizlemesiyle başlıyor. Ardından, bir kurban Claude Code veya Codex'i 'oto-mod' veya 'oto-inceleme' modunda kullanıyor. Bu mod, güvenli olduğu değerlendirilen komutları insan onayı olmadan otomatik olarak yürüten, yalnızca riskli olarak işaretlenenlerde duraklayan standart bir özellik.
Enjekte edilen talimatlar, yapay zekanın yargısını kandırmak için hazırlandığından, yapay zeka asistanı, saldırganın kötü amaçlı komutlarının zararsız veya rutin olduğuna inandırılıyor. Sonuç olarak, kullanıcıyı uyarmadan bunları otomatik olarak çalıştırıyor. Ana mekanizma, çok aşamalı bir prompt enjeksiyonu ile araç kullanımı sömürüsünün birleşimidir.
Yapay zeka ajanı depoyu taramaya başladığında, sadece pasif olarak kod okumaz; kaynak dosyaları, betikleri ve belgeleri ayrıştırarak projenin anlamsal bir modelini oluşturur. Saldırgan, güvenilir görünen yapıların (örn. README.md) içine, model tarafından güvenilmeyen girdi olarak değil, görev bağlamının bir parçası olarak yorumlanan doğal dil talimatları yerleştirerek bundan yararlanır. Bu enjekte edilen talimatlar, ajanın planlama sürecini yeniden şekillendirmek için hazırlanır.
Örneğin, talimatlar doğrudan bariz şekilde kötü niyetli bir komut çalıştırmayı söylemek yerine, belirli bir betiğin (security.sh) projenin standart güvenlik iş akışının bir parçası olduğunu, bu betiğin çalıştırılmasının kullanıcının isteğini tamamlamak için gerekli olduğunu ve ajanın hedefiyle (güvenlik analizi) uyumlu olduğunu belirterek eylemi meşru gösterir. Depo ayrıca, güvenlik araçlarını çalıştırıyormuş gibi görünen bir kabuk betiği (security.sh), betiğin yürüttüğü gizli bir kötü amaçlı ikili dosya (code_policies) ve bu ikili dosyayı meşru gösteren bir aldatmaca kaynak dosyası (code_policies.go) içerir.
Uzmanların Görüşleri
Ajan betiği çalıştırmanın güvenli olup olmadığını değerlendirirken, iç sınıflandırıcısına ve buluşsal yöntemlerine güvenir. Betik tanıdık güvenlik araçlarına atıfta bulunduğu, ikili dosya meşru kaynak koduna karşılık geliyormuş gibi göründüğü ve belgeler eylemi rutin olarak çerçevelediği için ajan eylemi güvenli olarak yanlış sınıflandırır. Otomatik modda bu sınıflandırma kritiktir, çünkü ajan düşük riskli kabul edilen kabuk komutlarını insan onayı olmadan yürütme yetkisine sahiptir. Sonuç olarak ajan, security.sh betiğini çalıştırmaya karar verir, betiği aracılığıyla yürütür, dolaylı olarak kötü amaçlı ikili dosyayı başlatır ve ana bilgisayar sisteminde rastgele kod çalıştırma tetikler. Bu, kurbanın yapay zekayı pasif olarak kod taraması yapması için kullandığını düşünürken saldırganın kodunun kurbanın makinesinde çalışması anlamına gelir.
Kaynak: infosecurity-magazine.com