Yapay Zeka Kodlama Asistanları, On Yıllardır Bilinen Symlink Saldırısıyla Hacklenebiliyor Yazılım

Yapay Zeka Kodlama Asistanları, On Yıllardır Bilinen Symlink Saldırısıyla Hacklenebiliyor

Google bünyesindeki Wiz, popüler AI kodlama araçlarını hedef alan GhostApproval saldırısını duyurdu. On yıllardır bilinen symlink takibiyle çalışan bu

Google'ın bulut güvenlik şirketi Wiz, yaygın olarak kullanılan birçok yapay zeka kodlama asistanının, onlarca yıldır bilinen bir saldırı yöntemiyle geliştirici bilgisayarlarını ele geçirmek için kandırılabildiğini ortaya çıkardı. GhostApproval adı verilen bu saldırı, Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment ve Windsurf gibi popüler araçlarda başarıyla test edildi. Saldırının temelinde, sembolik bağ (symlink) takibi adı verilen ve Unix'in ilk günlerinden beri var olan bir dosya sistemi davranışı yatıyor. Bu davranış sayesinde bir program, sembolik bağın kendisi yerine işaret ettiği hedef dosyaya erişip işlem yapabiliyor. Wiz araştırmacıları, bu eski zafiyetin yapay zeka kodlama asistanlarında hâlâ istismar edilebildiğini kanıtladı.

GhostApproval saldırısında, bir bilgisayar korsanı masum görünen bir depoya (repository) sembolik bir bağ yerleştiriyor. Bu bağ, normal bir proje dosyası gibi görünürken aslında çalışma alanının dışındaki hassas bir konumu işaret ediyor. Örneğin, geliştiricinin SSH anahtarlarını veya sistem yapılandırma dosyalarını hedef alabiliyor. Geliştirici, bu depoyu bir AI kodlama asistanında açıp düzenleme yapmasını istediğinde, ajan sembolik bağı takip ediyor ve yazma işlemini saldırganın belirlediği hedefte gerçekleştiriyor. Bu sayede geliştirici farkında olmadan kötü niyetli bir dosyayı onaylamış oluyor.

Wiz araştırmacıları, asıl endişe verici noktanın bu araçların güvenlik mekanizmalarının nasıl aşıldığı olduğunu belirtiyor. Birçok AI kodlama aracı, bu tür saldırıları engellemek için kum havuzları (sandbox) veya onay diyalogları kullanıyor. Teoride, bu diyaloglar bir 'insanın devrede olduğu' (Human-in-the-Loop) güvenlik ağı oluşturuyor. Ancak GhostApproval, bu diyalogların asıl hedefi göstermediğini ortaya koyuyor. Araç, kullanıcıya zararsız bir yerel değişiklik olarak gösterirken, arka planda sistem dosyalarını sessizce değiştirebiliyor. Wiz, 'Güvenlik modeli yalnızca doğru bilgi sağlandığında çalışır. Ajan bir şey gösterip başka bir şey yaptığında, kullanıcı onayı anlamsızlaşır' diyerek durumu özetliyor.

Sistem Güvenliği

Wiz, bu bulguları 2026'nın ilk çeyreğinde ilgili satıcılara bildirdi. AWS, Google ve Cursor zafiyeti doğrulayarak yamalar yayınladı. Anthropic (Claude'un geliştiricisi) bulguları bir güvenlik açığı olarak görmese de, rapor öncesinde bu tür saldırılara karşı önlemler eklediğini belirtti. Augment ve Windsurf ise raporu aldıklarını doğruladı ancak henüz düzeltme yayınlamadı. Wiz, Çarşamba günü GhostApproval zafiyetinin tüm teknik detaylarını yayınladı.

Önemli Gelişmeler

Bu saldırının en kritik yönü, geliştiricilerin farkında olmadan sistemlerine tam erişim sağlayabilecek olması. Bir geliştirici, sadece bir depoyu açıp AI asistanına bir değişiklik yapmasını söyleyerek saldırıya uğrayabiliyor. Saldırgan, sembolik bağ sayesinde SSH anahtarları, kimlik bilgileri veya diğer hassas dosyaları çalabilir, hatta uzaktan kod çalıştırarak (RCE) tam kontrol elde edebilir. Wiz, bu zafiyetin 'uzaktan kod çalıştırma' potansiyeli taşıdığını vurguluyor.

Peki, geliştiriciler bu saldırıdan nasıl korunabilir? İlk olarak, AI kodlama araçlarının en güncel sürümlerini kullanmak kritik. AWS, Google ve Cursor gibi satıcılar yamalarını yayınladı; Augment ve Windsurf kullanıcılarının ise güncellemeleri takip etmesi gerekiyor. İkinci olarak, güvenilmeyen kaynaklardan gelen repoları açarken dikkatli olmak ve AI asistanına verilen izinleri sınırlamak önemli. Bazı araçlar, sembolik bağları çözümleyerek gerçek hedefi göstermeye başladı; bu özelliğin etkin olduğundan emin olunmalı. Ayrıca, geliştiricilerin kendi makinelerinde düzenli güvenlik taramaları yapması ve hassas dosyaların izinlerini sıkı tutması önerilir. Son olarak, AI asistanlarının yaptığı değişiklikleri her zaman dikkatlice incelemek, 'onayla ve geç' alışkanlığından kaçınmak en temel savunma yöntemlerinden biri.

Kaynak: securityweek.com

Paylaş: