Yapay Zeka Kod Asistanlarında GhostApproval Açığı: Altı Popüler Araç Risk Altında Windows

Yapay Zeka Kod Asistanlarında GhostApproval Açığı: Altı Popüler Araç Risk Altında

Altı popüler AI kod asistanında keşfedilen GhostApproval açığı, sembolik bağlantılar yoluyla geliştiricilerin hassas dosyalarına erişime izin veriyor.

Yapay zeka destekli kod yazma araçları, yazılım geliştirme süreçlerini hızlandırırken beraberinde yeni güvenlik risklerini de getiriyor. Wiz Research tarafından yapılan bir çalışma, altı büyük AI kod asistanında GhostApproval adı verilen kritik bir güvenlik açığı olduğunu ortaya çıkardı. Bu açık, kötü niyetli bir deponun geliştiricinin makinesindeki hassas dosyalara yazmasına ve en kötü senaryoda uzaktan kod çalıştırılmasına (RCE) olanak tanıyor.

GhostApproval açığı, Amazon Q Developer, Anthropic'in Claude Code'u, Augment, Cursor, Google Antigravity ve Windsurf olmak üzere altı farklı AI kod asistanını etkiliyor. Saldırı tekniği, sembolik bağlantılar (symlink) adı verilen bir özelliği kullanıyor. Sembolik bağlantılar, bir dosya yolunun gizlice başka bir dosyayı işaret etmesini sağlayan bir mekanizma. Bu sayede, geliştiriciye zararsız görünen bir dosya aslında SSH anahtarları gibi kritik dosyalara yönlendirilebiliyor.

Wiz'in 7 Temmuz'da yayınladığı kanıtlama konsepti (PoC) çalışmasında, bir depo içindeki sembolik bağlantının project_settings.json gibi masum bir dosya kılığında geliştiricinin SSH anahtarlarını hedef aldığı gösterildi. Geliştirici, AI asistandan 'çalışma alanını ayarla' veya README dosyasını takip etmesini istediğinde, asistan bağlantıyı izleyerek saldırgan tarafından sağlanan anahtarı gerçek hedefe yazdı. Bu da saldırgana şifresiz uzaktan erişim sağladı.

Wiz, bu tasarımın bilgilendirilmiş onam mekanizmasını etkisiz hale getirdiğini belirtiyor. Bazı araçlarda, asistan dosyayı hassas bir konuma çözümlemesine rağmen onay iletişim kutusu yalnızca zararsız dosya adını gösteriyor. Böylece geliştirici, gerçekte neyi onayladığını bilmeden bir düzenlemeye izin vermiş oluyor. Bu durum, AI kod asistanlarının güven modelinde önemli bir zafiyet oluşturuyor.

Gelecekte Ne Bekleniyor?

Wiz, GhostApproval açığını 2026'nın başlarında altı satıcıya da bildirdi. Amazon, Google ve Cursor, açığı bir güvenlik zafiyeti olarak değerlendirip düzeltmeler yayınladı. Cursor, açığa CVE-2026-50549 numarasını atadı. Augment ve Windsurf ise raporu kabul etmelerine rağmen henüz bir düzeltme yayınlamadı, bu da kullanıcılarının potansiyel olarak risk altında olduğu anlamına geliyor. Anthropic ise Claude Code'un davranışının bir güvenlik açığı olmadığını savundu ve kullanıcının bir dizine güvenip düzenlemeyi onaylamasının kendi sorumluluğu olduğunu belirtti.

Uzmanların Görüşleri

Wiz, GhostApproval'ı izole hatalardan ziyade sektörün henüz çözemediği bir tasarım sorunu olarak çerçeveliyor: Bir AI kod aracı, kullanıcıyı aldatıcı bir çalışma alanından korumalı mı yoksa bu kararı kullanıcının muhakemesine mi bırakmalı? Wiz'in satıcılara önerisi, onay istemeden önce sembolik bağlantıları çözümlemeleri ve proje dışına yapılan yazmaları işaretlemeleri yönünde. Augment veya Windsurf kullanan geliştiricilerin ise güncellemeleri takip etmeleri öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: