Yapay Zeka Kodlama Ajanları, Saldırganları Yakalamak İçin Yazılan Güvenlik Kurallarını Tetikliyor Linux

Yapay Zeka Kodlama Ajanları, Saldırganları Yakalamak İçin Yazılan Güvenlik Kurallarını Tetikliyor

Sophos, AI kodlama ajanlarının (Claude Code, Cursor, OpenAI Codex) saldırganları yakalamak için tasarlanmış uç nokta güvenlik kurallarını tetiklediğin

Siber güvenlik firması Sophos, kendi uç nokta verilerini incelediğinde, Claude Code, Cursor ve OpenAI Codex gibi yapay zeka kodlama ajanlarının, insan saldırganları yakalamak için yazılmış algılama kurallarını tetiklediğini ortaya çıkardı. Bu ajanlar kötü niyetli değil; ancak davranışsal bir motor için tıpkı bir saldırı gibi görünen birçok eylem gerçekleştiriyorlar. Tarayıcı kimlik bilgilerini şifre çözme, Windows kimlik bilgisi deposunda neler olduğunu listeleme, yerleşik sistem araçlarıyla dosya indirme ve başlangıç klasörüne yazma gibi eylemler, uzun süredir savunmacılar için yüksek sinyal değeri taşıyor. Değişen şey, bu eylemleri kimin ürettiği: Sophos'un izlediği makinelerde, genellikle bir geliştiricinin AI asistanı sıradan işler yaparken bu kuralları tetikliyor.

Analiz, Haziran 2026'dan yedi günlük telemetri verisine dayanıyor; Sophos'un Windows üzerindeki davranışsal motorundan alınan veriler, ham olay hacmi yerine benzersiz makinelere göre sayılıyor. Bu, bir satıcının filosundaki dar bir zaman dilimi ve sektör çapında bir sayım değil. Sophos'un grafikleri, engellenen etkinliklerin yüzde 56,2'sinin kimlik bilgisi erişimine, yüzde 28,8'inin ise yürütmeye ait olduğunu gösteriyor: ajanlar, depolanan sırlara erişiyor veya kod çalıştırıyor. En büyük kimlik bilgisi erişimi kuralı (bu grubun yüzde 42,6'sı), bir işlemin Windows'un yerleşik Veri Koruma API'sini (DPAPI) kullanarak tarayıcının depolanan kimlik bilgilerinin şifresini çözmesiyle tetikleniyor. Sophos, GStack'in kodlama ajanları için yaygın olarak benimsenen bir beceri paketi olduğunu belirtiyor. /browse becerisi tam olarak bunu yapıyor: DPAPI'yi çağıran PowerShell çalıştırarak kayıtlı tarayıcı verilerinin kilidini açıyor. Sophos, bunu Claude Code altında çalışırken yakaladı. Bağlamda, neredeyse kesinlikle kullanıcı adına tarayıcı otomasyonu. Algılama motoru için bu, kimlik bilgisi hırsızlığı ve kuralın ateşlenmesi doğru.

Bazı Python örnekleri kağıt üzerinde daha kötü görünüyordu. Bir örnekte, Claude Code çalışan tarayıcıyı kapattı ve kimlik bilgisi deposundan veri çeken bir betik çalıştırdı. Ayrıca, Windows Kimlik Bilgisi Yöneticisi'nin tuttuğu kimlik bilgilerini numaralandırmak için cmdkey /list komutunu çalıştırdı. Sophos, Claude Code'un burada Anthropic'in kendi belgelerinin uyarıda bulunduğu ve yöneticilere nasıl engelleneceğini söylediği --dangerously-skip-permissions bayrağıyla çalıştığını belirtiyor. Bir yaklaşım başarısız olduğunda, ajan başka birini dener. OpenAI Codex tam olarak bunu yaptı: gerçek python.org sitesinden bir Python yükleyicisini önce certutil ile getirmeye çalıştı. Bu engellenince bitsadmin'e geçti. Her ikisi de saldırganların yük indirmek için rutin olarak istismar ettiği meşru Windows yardımcı programlarıdır. Hedef zararsızdı, ancak Sophos'un vurguladığı nokta, bu engellendiğinde yön değiştirme davranışının canlı bir saldırganı statik bir betikten ayıran şey olduğu ve artık zararsız ajanların da bunu yapması.

Cursor, PowerShell kullanarak her önyüklemede çalışacak bir başlangıç klasörü betiği bırakarak bir kalıcılık kuralını tetikledi. Sophos betiğin ne yaptığını doğrulayamadı, ancak güvenilir bir yükleyici dışında başlangıç klasörüne yazmak, savunmacıların hemen işaretlediği bir şey. Bu durum, AI ajanlarının hem iyi hem de kötü niyetli kullanımlarının güvenlik olaylarına yol açabileceğini gösteriyor. Bir ay önce Sophos, bir saldırganın EDR ürünlerine karşı kötü amaçlı yazılım oluşturmak ve test etmek için AI ajanları kullandığını belgelemişti; bunlardan biri işi koordine etmek için Claude Opus 4.5 çalıştırıyordu. Bu, geliştirme zamanıydı: ajanların bir saldırganın daha iyi araçlar yazmasına yardımcı olması. Ajanlar ayrıca çalışma zamanında kendi kullanıcılarına karşı da kullanılabiliyor. Ayrı bir vakada araştırmacılar, bir kodlama ajanının zehirli girdilerle saldırgan kodu çalıştırması için kandırılabileceğini gösterdi; bu zincir, ajan kullanıcının güvenilir oturumu içinde hareket ettiği için EDR'yi atlatabiliyor.

Gelecekte Ne Bekleniyor?

Bunlar farklı kuralların tetiklendiği ayrı olaylar, ancak ortak bir yüzeyleri var: tarayıcı kimlik bilgisi çağrıları, LOLBin indirmeleri ve başlangıç yazmaları artık zararsız ajanlar, saldırgan tarafından çalıştırılan ajanlar ve ele geçirilmiş ajanlar tarafından gerçekleştiriliyor. Bu nedenle, ham eylem size eskisi kadar bilgi vermiyor. Ve bu, saldırıların nasıl göründüğündeki daha büyük bir değişimin içinde yer alıyor. CrowdStrike'ın 2026 Küresel Tehdit Raporu, 2025'teki tespitlerin yüzde 82'sinin kötü amaçlı yazılım içermediğini, saldırganların dosya bırakmak yerine geçerli kimlik bilgileri ve güvenilir araçlar kullandığını ortaya koydu. Bu değişim, tespiti başlangıçta davranışsal hale getiren şeydi. AI ajanları artık sıradan nedenlerle aynı davranışı üreterek, savunmacıların güvendiği sinyali kalabalıklaştırıyor.

Sistem Güvenliği

Savunmacılar için bu ne anlama geliyor? Geliştiriciler bu ajanları kendi hesapları altında çalıştırıyorsa, uç nokta kurallarının makinelerinde tetiklenmesini bekleyin. Sophos'un yanıtı, kuralları yakaladıkları şeye göre bölmek. Bir ajanın indirmeyi yeniden denemesi veya alışılmadık biçimlendirilmiş PowerShell yayması gibi yürütme gürültüsü genellikle kapsamlandırılabilir. Kuralı ajanın ana işlemine (claude.exe, cursor.exe ve alt işlemleri), çalışma alanı veya geçici yoluna veya indirme hedefinin itibarına göre anahtarlayın. Bu, bilinen bir ajanın sıradan işler yaparken uyarı üretmesini engeller. Kimlik bilgisine dokunma davranışı, çizgiyi çekmeniz gereken yerdir. Tarayıcı kimlik bilgilerinin şifresini çözmek veya Kimlik Bilgisi Yöneticisi'ni numaralandırmak, bir ajan tarafından yapıldığı için güvenli hale gelmez ve bir ajan, güvenilir bir kullanıcı altında çalıştığı için kimlik bilgisi depolarına tam erişim miras almamalıdır. Gürültü Claude Code'un --dangerously-skip-permissions modundan geliyorsa, bu modu yönetilen ayarlar aracılığıyla devre dışı bırakın. Sophos bunu bir erken okuma, nihai bir karar değil olarak adlandırıyor ve değişimin yönü net olsa da hala küçük olduğunu belirtiyor. Açık politika sorusu, bir kodlama ajanının bir uç noktada neye dokunmasına izin verilmesi gerektiğidir ve kimlik bilgisi depoları ilk çizgiyi çekmek için mantıklı bir yerdir.

Kaynak: thehackernews.com

Paylaş: