Yapay Zeka Kodlama Asistanları Saldırgan Gibi Davranıyor: Güvenlik Kurallarını Tetikliyor Linux

Yapay Zeka Kodlama Asistanları Saldırgan Gibi Davranıyor: Güvenlik Kurallarını Tetikliyor

Sophos, AI kodlama asistanlarının (Claude Code, Cursor) saldırgan tespit kurallarını tetiklediğini buldu. Zararsız eylemler, güvenlik motorlarında şüp

Siber güvenlik firması Sophos, yedi günlük uç nokta telemetrisini incelediğinde ilginç bir durumla karşılaştı: Claude Code, Cursor ve OpenAI Codex gibi yapay zeka kodlama asistanları, kötü niyetli saldırganları yakalamak için tasarlanmış tespit kurallarını tetikliyor. Bu ajanlar kötü niyetli değil, ancak yaptıkları birçok işlem, davranışsal bir motora tam olarak bir saldırı gibi görünüyor. Tarayıcı kimlik bilgilerini çözmek, Windows kimlik bilgi deposunda neler olduğunu listelemek, sistem araçlarıyla dosya indirmek veya başlangıç klasörüne yazmak gibi eylemler, uzun süredir savunmacılar için yüksek sinyal değeri taşıyor. Değişen şey, bu sinyali kimin ürettiği: Artık çoğu zaman bir geliştiricinin AI asistanı, sıradan bir iş yaparken alarmları tetikliyor.

Sophos'un analizi, Haziran 2026'ya ait yedi günlük telemetriye dayanıyor ve Windows üzerindeki davranışsal motorundan alınan verileri kapsıyor. Bulgulara göre, engellenen etkinliklerin yüzde 56,2'si kimlik bilgisi erişimi, yüzde 28,8'i ise yürütme ile ilgili. Yani ajanlar, saklanan sırlara ulaşıyor veya kodu tıpkı saldırganlar gibi çalıştırıyor. En büyük kimlik bilgisi erişim kuralı (yüzde 42,6), bir işlemin Windows'un yerleşik Veri Koruma API'sini (DPAPI) kullanarak tarayıcının saklanan kimlik bilgilerini çözmesiyle tetikleniyor. Sophos, GStack adlı yaygın bir beceri paketini işaret ediyor: Bu paketin /browse becerisi, tam olarak bunu yapıyor ve PowerShell ile DPAPI'yi çağırarak tarayıcı verilerini açıyor. Bağlamda, bu neredeyse kesinlikle kullanıcı adına yapılan bir tarayıcı otomasyonu, ancak tespit motoru için bu bir kimlik hırsızlığı.

Bazı Python örnekleri kağıt üzerinde daha da kötü görünüyordu. Bir örnekte, Claude Code çalışan tarayıcıyı kapattı ve kimlik bilgisi deposundan veri çeken bir betik çalıştırdı. Ayrıca, cmdkey /list komutunu çalıştırarak Windows Kimlik Yöneticisi'nin tuttuğu kimlik bilgilerini sıraladı. Sophos, Claude Code'un burada --dangerously-skip-permissions bayrağıyla çalıştığını belirtiyor; bu mod, Anthropic'in kendi dokümantasyonunda uyarılan ve yöneticilere nasıl engelleneceğinin anlatıldığı bir mod. Bir yaklaşım başarısız olduğunda, ajan başka bir yöntem dener. OpenAI Codex, python.org'dan bir Python yükleyicisini önce certutil ile, engellenince bitsadmin ile indirmeye çalıştı. Her iki araç da saldırganların sıkça kullandığı meşru Windows yardımcı programları. Hedef zararsızdı, ancak Sophos'un vurguladığı nokta, bu 'engellenince yön değiştirme' davranışının canlı bir saldırganı statik bir betikten ayıran şey olduğu ve artık zararsız ajanların da bunu yapması.

Cursor ise PowerShell kullanarak başlangıç klasörüne her açılışta çalışacak bir betik bırakarak kalıcılık kuralını tetikledi. Sophos betiğin ne yaptığını doğrulayamadı, ancak başlangıç klasörüne güvenilmeyen bir yükleyici dışında yazmak, savunmacıların hemen işaretlediği bir durum. Bu eylemler, AI ajanlarının her iki tarafta da kullanıldığını gösteriyor. Bir ay önce Sophos, bir saldırganın EDR ürünlerine karşı kötü amaçlı yazılım oluşturmak ve test etmek için AI ajanları kullandığını belgelemişti. Ayrıca, araştırmacılar bir kodlama ajanının zehirli girdilerle kandırılarak saldırgan kodunu çalıştırabileceğini gösterdi. Bu zincir, ajan kullanıcının güvenilir oturumu içinde hareket ettiği için EDR'den kaçabiliyor.

Bu olaylar farklı kuralları tetiklese de ortak bir yüzey paylaşıyor: tarayıcı kimlik bilgisi çağrıları, LOLBin indirmeleri ve başlangıç yazmaları artık hem zararsız ajanlardan, hem saldırgan tarafından çalıştırılan ajanlardan, hem de ele geçirilmiş ajanlardan geliyor. Bu nedenle, ham eylem size eskisi kadar bilgi vermiyor. CrowdStrike'ın 2026 Küresel Tehdit Raporu, 2025 tespitlerinin yüzde 82'sinin kötü amaçlı yazılım içermediğini, saldırganların dosya bırakmak yerine geçerli kimlik bilgileri ve güvenilir araçlar kullandığını gösterdi. Bu değişim, tespiti davranışa yöneltti. AI ajanları şimdi aynı davranışı sıradan nedenlerle üreterek, savunmacıların güvendiği sinyali kalabalıklaştırıyor.

Savunmacılar için anlamı: Geliştiriciler bu ajanları kendi hesapları altında çalıştırırsa, uç nokta kurallarının tetiklenmesini bekleyin. Sophos'un önerisi, kuralları yakaladıkları şeye göre bölmek. Bir ajanın yeniden denemesi veya garip biçimlendirilmiş PowerShell çıkarması gibi yürütme gürültüsü genellikle kapsamlandırılabilir. Kuralı ajanın üst sürecine (claude.exe, cursor.exe ve alt süreçleri), çalışma alanına veya indirme hedefinin itibarına göre anahtarlayın. Bu, bilinen bir ajanın sıradan işlerini yaparken alarm üretmesini engeller. Kimlik bilgisine dokunan davranışta ise çizgiyi koruyun. Tarayıcı kimlik bilgilerini çözmek veya Kimlik Yöneticisi'ni sıralamak, bir ajan tarafından yapıldığı için güvenli hale gelmez ve bir ajan, güvenilir bir kullanıcı altında çalıştığı için kimlik depolarına tam erişim miras almamalıdır. Gürültü Claude Code'un --dangerously-skip-permissions modundan geliyorsa, bu modu yönetilen ayarlarla devre dışı bırakın.

Sophos, bunu erken bir okuma olarak nitelendiriyor ve yönün net olmasına rağmen değişimin henüz küçük olduğunu belirtiyor. Açık politika sorusu, bir kodlama ajanının bir uç noktada neye dokunmasına izin verilmesi gerektiği ve kimlik depolarının bu çizgiyi çekmek için mantıklı bir ilk nokta olduğu. Güvenlik ekipleri, AI ajanlarının artan kullanımıyla birlikte bu yeni zorluğa hazırlıklı olmalı ve kurallarını buna göre uyarlamalı.

Kaynak: thehackernews.com

Paylaş: