Yapay zeka destekli kod tarama araçları, açık kaynak kodlardaki güvenlik açıklarını bulmak için tasarlanmış olsa da, yeni bir araştırma bu araçların aslında saldırganın kodunu çalıştırmak için kullanılabileceğini ortaya koydu. AI Now Institute tarafından yayınlanan bir proof-of-concept çalışma, 'Friendly Fire' adı verilen bu saldırının, Anthropic'in Claude Code ve OpenAI'in Codex araçlarını hedef aldığını gösteriyor. Saldırı, bu araçların otonom modda çalışırken kendi komutlarını onaylaması prensibine dayanıyor. Araştırmacılar Boyan Milanov ve Heidy Khlaaf, bu araçların güvenlik taraması yaparken aslında saldırganın kodunu çalıştırdığını keşfetti.
Saldırı, AI ajanlarının güvenilmeyen üçüncü taraf kodlarını taramak için kullanıldığı senaryolarda etkili oluyor. Araştırmacılar, Claude Code'un 'auto-mode' ve Codex'in 'auto-review' modlarını test etti. Bu modlar, ajanın güvenli bulduğu komutları otomatik olarak çalıştırırken, riskli gördüklerini durduruyor. Ancak 'Friendly Fire' saldırısı, bu güvenlik sınıflandırıcılarını atlatmayı başarıyor. Saldırı için herhangi bir yama beklenmiyor; çünkü araştırmacılara göre açık, yazılımın tasarımında yatıyor ve düzeltme için iş akışı değişikliği gerekiyor.
Proof-of-concept saldırı, geopy adlı popüler bir Python kütüphanesi üzerinde gerçekleştirildi. Araştırmacılar, kütüphanenin README.md dosyasına, pull request öncesinde çalıştırılması önerilen bir 'security.sh' betiğine atıfta bulunan bir not ekledi. Bu betik, aslında zararsız bir Go dosyasının derlenmiş hali gibi görünen gizli bir ikili dosyayı çalıştırıyor. AI ajanı, README dosyasını okuyarak betiği çalıştırmaya karar veriyor ve böylece saldırganın kodu doğrudan ana bilgisayarda çalıştırılıyor. Hiçbir uyarı veya onay kutusu görünmüyor.
Sonuç ve Değerlendirme
Araştırmacılar, saldırının daha önceki AI ajan saldırılarından farklı olduğunu vurguluyor. Önceki saldırılar genellikle .mcp.json veya .claude/settings.json gibi yapılandırma dosyalarını hedef alırken, 'Friendly Fire' README.md gibi sıradan bir metin dosyasını kullanıyor. Bu, çok daha geniş bir saldırı yüzeyi oluşturuyor. Ayrıca, saldırı hem Claude Code hem de OpenAI Codex üzerinde, farklı modellerde (Claude Sonnet 4.6, Sonnet 5, Opus 4.8 ve GPT-5.5) hiçbir değişiklik yapılmadan çalışıyor. Bu, sorunun model güncellemeleriyle çözülemeyeceğini gösteriyor.
AI Now Institute, bulgularını politika yapıcılara sunuyor. Hükümetler ve şirketler, AI ajanlarını savunma amaçlı güvenlik çalışmalarında kullanmaya teşvik ederken, bu tür açıklar henüz kapatılmış değil. Araştırmacılar, güvenilmeyen kodların, komut çalıştırabilen ve anahtarlara, sırlara veya ana bilgisayara erişimi olan bir AI ajanına verilmemesi gerektiğini belirtiyor. Bu, üçüncü taraf kodlarını denetlemek için bu araçları kullanan ekipler için zorlayıcı olsa da, mevcut güvenlik açığı göz önüne alındığında gerekli bir önlem.
Saldırı henüz laboratuvar ortamında ve herhangi bir gerçek dünya kullanımı rapor edilmemiş olsa da, araştırmacılar hem Anthropic hem de OpenAI'i bilgilendirdiklerini belirtiyor. 'Friendly Fire', AI ajanlarının güvenlik açıklarının sadece bir örneği; daha önce Adversa'nın 'TrustFall' ve Tenet'in 'Agentjacking' saldırıları da benzer yöntemler kullanmıştı. Ortak nokta, güvenilmeyen dış metinlerin komut çalıştırabilen ajanlara ulaşması. Bu nedenle, güvenlik önlemleri olarak sandbox kullanımı önerilse de, sandbox'ların da kusursuz olmadığı ve Claude Code'un sandbox'ında daha önce kaçış açıkları bulunduğu unutulmamalıdır.
Kaynak: thehackernews.com