Yapay Zeka Güvenlik Araçları Siber Saldırılara Dönüşebilir: Anthropic ve OpenAI Tehlikesi Yazılım

Yapay Zeka Güvenlik Araçları Siber Saldırılara Dönüşebilir: Anthropic ve OpenAI Tehlikesi

Anthropic ve OpenAI'ın CLI araçları, kötü niyetli kodları otomatik olarak çalıştırabilen bir güvenlik açığı barındırıyor. Araştırmacılar, bu araçların

Kurumlar, güvenlik açıklarını otomatik olarak tespit etmek ve yama yönetimini sağlamak için Anthropic ve OpenAI destekli ajanları kullanmaya başladıkça, araştırmacılar bu araçların geniş erişim yetkilerinin potansiyel saldırı vektörlerine dönüşebileceği konusunda uyarıyor. AI Now Institute tarafından 8 Temmuz'da yayınlanan raporda, baş AI bilimci Heidy Khlaaf ve kıdemli araştırma bilimci Boyan Milanov, Anthropic'in Claude Code ve OpenAI'in Codex CLI araçlarında uzaktan kod çalıştırmaya izin veren bir Proof-of-Concept (PoC) istismarı gösterdi.

Bu istismar, Claude Code'un Claude Sonnet 4.6 ve 5 ile Opus 4.8 sürümlerini ve Codex'in GPT-5.5 ile kullanıldığı sürümlerini etkiliyor. Araçlar, bir kullanıcının üçüncü taraf bir açık kaynak kod tabanını incelemesi veya analiz etmesi sırasında, kötü niyetli kodları çalıştırması için manipüle edilebiliyor. Bu senaryo, genellikle önerilen bir savunma kullanım durumu olan kod inceleme sürecinde bile gerçekleşebiliyor.

PoC istismarı, varsayımsal bir saldırganın açık kaynak kitaplığın dosyalarına, örneğin kod yorumlarına veya belgelere, AI'nın komutları yorumlama şeklini manipüle edecek şekilde gizli talimatlar yerleştirmesiyle başlıyor. Kurban daha sonra Claude Code veya Codex'i 'oto-mod' veya 'oto-inceleme' modunda kullanıyor; bu özellik, güvenli olduğu değerlendirilen komutları insan onayı olmadan otomatik olarak çalıştırıyor ve yalnızca riskli olarak işaretlenenlerde duruyor.

Enjekte edilen talimatlar, AI'nın yargısını kandıracak şekilde tasarlandığından, AI asistanı saldırganın kötü niyetli komutlarını zararsız veya rutin olarak algılıyor. Sonuç olarak, kullanıcıyı uyarmadan bu komutları otomatik olarak çalıştırıyor. Temel mekanizma, çok aşamalı bir prompt injection ile araç kullanımı istismarının birleşimidir.

AI ajanı depoyu taramaya başladığında, kodu pasif olarak okumakla kalmıyor, aynı zamanda kaynak dosyaları, betikleri ve belgeleri ayrıştırarak projenin anlamsal bir modelini oluşturuyor. Saldırgan, güvenilir görünen yapay nesnelere (ör. README.md) doğal dil talimatları yerleştirerek bu durumdan yararlanıyor. Bu talimatlar, model tarafından güvenilmeyen girdi değil, görev bağlamının bir parçası olarak yorumlanıyor.

Enjekte edilen talimatlar, ajanın planlama sürecini yeniden şekillendirmek için hazırlanıyor. Doğrudan kötü niyetli bir komut çalıştırmak yerine, belirli bir betiğin (ör. security.sh) projenin standart güvenlik iş akışının bir parçası olduğunu öne sürüyor. Bu betiğin çalıştırılması, kullanıcının isteğini ('güvenlik kontrollerini çalıştır') tamamlamak için gerekli olarak çerçeveleniyor ve ajanın hedefiyle (güvenlik açığı analizi) uyumlu hale getiriliyor.

Depo, ikinci aşama yükünü içeriyor: yaygın araçları çalıştırıyormuş gibi görünen bir kabuk betiği (security.sh), betiğin çalıştırdığı gizli bir kötü niyetli ikili dosya (code_policies) ve ikili dosyayı meşru ve beklenen yapı yapıtlarıyla uyumlu gösteren bir aldatmaca kaynak dosyası (code_policies.go). Ajan betiği değerlendirirken, güvenlik araçlarına aşina olması, ikili dosyanın meşru kaynak koduna karşılık gelmesi ve belgelerin çalıştırmayı rutin olarak çerçevelemesi nedeniyle eylemi güvenli olarak sınıflandırıyor.

Teknik Analiz

Oto-mod veya oto-inceleme modunda bu sınıflandırma kritiktir, çünkü ajan düşük riskli olarak değerlendirilen kabuk komutlarını insan onayı olmadan çalıştırmaya yetkilidir. Sonuç olarak, ajan otonom olarak security.sh betiğini istenen analizin bir parçası olarak çalıştırmaya karar veriyor, betiği araç arayüzü (kabuk erişimi) aracılığıyla çalıştırıyor, dolaylı olarak kötü niyetli ikili dosyayı başlatıyor ve ana sistemde keyfi kod çalıştırmayı tetikliyor. Bu, kurbanın AI'nın yalnızca pasif olarak bir kod tabanını taradığını düşünmesine rağmen, saldırganın kodunun kurbana ait makinede çalışmasına neden oluyor.

Kaynak: infosecurity-magazine.com

Paylaş: