Yapay Zeka Kod Denetleme Araçları Güvenlik Açığı Ararken Saldırgan Kodunu Çalıştırabiliyor Yazılım

Yapay Zeka Kod Denetleme Araçları Güvenlik Açığı Ararken Saldırgan Kodunu Çalıştırabiliyor

AI kod denetleme araçları, güvenlik açığı ararken saldırgan kodunu çalıştırabiliyor. AI Now Institute'ın keşfettiği 'Friendly Fire' saldırısı, Claude

Yapay zeka tabanlı kod denetleme araçları, açık kaynak projelerde güvenlik açıklarını tespit etmek için kullanılırken, aslında saldırganın kodunu çalıştırabilecek bir güvenlik açığı keşfedildi. AI Now Institute tarafından yayınlanan bir proof-of-concept çalışması, 'Friendly Fire' adı verilen bu saldırının, Anthropic'in Claude Code ve OpenAI'in Codex araçlarını hedef aldığını gösteriyor. Bu araçlar, otonom modda çalışırken, kullanıcı onayı olmadan komutları onaylayabiliyor ve bu da saldırganlara kapı aralıyor.

Saldırı, tam da bu araçların satıldığı işlevi hedef alıyor: güvenilmeyen üçüncü taraf kodlarını denetlemek. Ancak tehdidi yakalamak yerine, aracın kendisi saldırının giriş noktası haline geliyor. Araştırmacılar Boyan Milanov ve Heidy Khlaaf, Claude Code ve Codex'in otonom modlarını test ederek, her iki aracın da README.md dosyasına yerleştirilen kötü niyetli bir betiği çalıştırabildiğini gösterdi. Bu betik, güvenlik denetimi gibi görünen bir komutla gizlice bir ikili dosyayı çalıştırarak saldırganın kodunu ana makinede icra ediyor.

Saldırının temelinde, araçların README.md gibi sıradan metin dosyalarındaki talimatlara güvenmesi yatıyor. Daha önceki saldırılar genellikle .mcp.json veya .claude/settings.json gibi yapılandırma dosyalarını hedef alırken, bu yöntem çok daha geniş bir saldırı yüzeyi sunuyor. README.md dosyası, neredeyse her depoda bulunan sıradan bir dosya olduğu için, güvenlik uyarıları tetiklenmiyor ve saldırganın kodu doğrudan çalıştırılabiliyor.

Araştırmacılar, saldırının Claude Sonnet 4.6, Sonnet 5, Opus 4.8 ve GPT-5.5 modellerinde başarıyla çalıştığını belirtiyor. Daha yeni modellerin, ikili dosyanın kaynağıyla uyuşmadığını fark etmesine rağmen yine de çalıştırdığı gözlemlenmiş. Bu durum, AI Now Institute'ın daha sert bir iddiasını temellendiriyor: Bu güvenlik açığı, model güncellemesiyle düzeltilemez, çünkü modeller okudukları kod ile uygulamaları gereken talimatları hâlâ güvenilir bir şekilde ayırt edemiyor.

AI Now Institute, bulgularını politika yapıcılara sunuyor ve hükümetler ile satıcıların, bu saldırının kapatabileceği boşluktan daha hızlı bir şekilde yapay zeka ajanlarını savunma güvenliği işlerine yönlendirdiğine dikkat çekiyor. Haziran ayında imzalanan bir ABD başkanlık kararnamesi de bu yöndeki baskıyı artırıyor. Ancak şu ana kadar herhangi bir gerçek dünya saldırısı rapor edilmiş değil; bu yalnızca bir laboratuvar proof-of-concept çalışması.

Gelecekte Ne Bekleniyor?

Araştırmacıların önerisi net: Anahtar, sır veya ana makine erişimi olan bir ajana güvenilmeyen kod vermeyin. Bu, üçüncü taraf kodu denetlemek için bu araçları benimseyen ekipler için zor bir öneri olsa da, bulgudan çıkan sonuç bu. Eğer yine de çalıştırmanız gerekiyorsa, ajanın yalnızca README veya doküman dosyasının söylediği bir betiği çalıştırmasına dikkat edin. Sandbox gibi önlemler kısmen yardımcı olsa da, mükemmel değil; Claude Code'un sandbox'ında bu yıl kaçış hataları bulundu.

Bu saldırı, yapay zeka ajanlarının güvenlik denetimlerinde karşılaşılan daha büyük bir sorunun parçası. Adversa'nın 'TrustFall' ve Tenet'in 'Agentjacking' saldırıları da benzer zayıflıkları hedef almıştı. Ortak nokta, güvenilmeyen dış metinlerin komut çalıştırabilen bir ajana ulaşması. Bu durum, PyTorch Lightning ihlalinin gösterdiği gibi, saldırganların kamu kodlarını zehirlemesiyle gerçek dünyada da mümkün.

Önemli Gelişmeler

Sonuç olarak, yapay zeka kod denetleme araçlarının güvenlik açıklarını kapatmak için tasarım değişiklikleri gerekiyor. Versiyon güncellemeleri bu sorunu çözmek için yeterli değil; iş akışı değişiklikleri ve ajanların güvenilmeyen kodları işleme şeklinin yeniden düşünülmesi şart. AI Now Institute'ın çalışması, bu araçların ne kadar kırılgan olduğunu ve acil önlem alınması gerektiğini gözler önüne seriyor.

Kaynak: thehackernews.com

Paylaş: