Yapay zeka destekli kodlama asistanları, yazılım geliştirme sürecini hızlandıran güçlü araçlar olsa da, beraberinde yeni güvenlik risklerini de getiriyor. Wiz Araştırma ekibinin keşfettiği GhostApproval adlı güvenlik açığı, altı büyük AI kodlama asistanını etkiliyor. Bu açık, kötü niyetli bir deponun, geliştiricinin makinesindeki hassas dosyalara yazmasına ve en kötü durumda uzaktan kod çalıştırmasına (RCE) olanak tanıyor.
GhostApproval açığı, Amazon Q Developer, Anthropic'in Claude Code'u, Augment, Cursor, Google Antigravity ve Windsurf gibi popüler AI kodlama asistanlarında tespit edildi. Açığın temelinde, sembolik bağlantılar (symlink) bulunuyor. Sembolik bağlantılar, bir dosya yolunun gizlice başka bir dosyayı işaret etmesini sağlayan bir mekanizmadır. Wiz'in yayınladığı konsept kanıtında (PoC), bir depodaki masum görünümlü bir sembolik bağlantı (örneğin project_settings.json) aslında geliştiricinin SSH anahtarlarını işaret edebiliyor.
Geliştirici, asistandan 'çalışma alanını ayarla' veya README dosyasını takip etmesini istediğinde, ajan sembolik bağlantıyı takip ediyor ve saldırgan tarafından sağlanan bir anahtarı gerçek hedef dosyaya yazıyor. Bu, saldırgana şifresiz uzaktan erişim sağlıyor. Wiz, bu tasarımın bilinçli onayı etkisiz hale getirdiğini belirtiyor: Birçok araçta, ajan dosyayı hassas bir konuma çözümlerken, onay diyalogu yalnızca zararsız dosya adını gösteriyor. Böylece geliştirici, aslında göremediği bir düzenlemeyi onaylamış oluyor.
Teknik Analiz
Wiz, GhostApproval açığını 2026'nın başlarında altı üreticiye bildirdi. Amazon, Google ve Cursor, açığı bir güvenlik açığı olarak ele alıp düzeltti. Cursor, bu açık için CVE-2026-50549 numarasını yayınladı. Augment ve Windsurf ise raporları kabul etmelerine rağmen henüz bir düzeltme yayınlamadı ve kullanıcılarını potansiyel riske maruz bıraktı. Anthropic ise Claude Code'un davranışının bir güvenlik açığı olmadığını savundu.
Anthropic'e göre, bir dizine güvenen ve bir düzenlemeyi onaylayan kullanıcı, bu kararın sorumluluğunu taşır. Şirket, bu senaryoyu 'tehdit modelimizin dışında' olarak nitelendirdi. Wiz ise GhostApproval'ı izole hatalardan ziyade, sektörün henüz çözemediği bir tasarım sorunu olarak görüyor: Bir AI kodlama aracı, kullanıcıyı aldatıcı bir çalışma alanından korumalı mı, yoksa bu kararı kullanıcının yargısına mı bırakmalı?
Uzmanların Görüşleri
Wiz'in üreticilere önerisi, onay istemeden önce sembolik bağlantıları çözümlemeleri ve proje dışına yapılan yazmaları işaretlemeleri. Augment veya Windsurf kullanan geliştiricilerin ise güncellemeleri takip etmeleri önemle tavsiye ediliyor. GhostApproval açığı, yapay zeka destekli araçların güvenlik tasarımında kritik bir dönüm noktası olabilir ve bu tür araçların kullanımında daha dikkatli olunması gerektiğini gösteriyor.
GhostApproval açığı, AI kodlama asistanlarının güvenlik açıklarının sadece bir örneği. Geçtiğimiz aylarda 'Agentjacking' saldırıları da benzer araçları hedef almıştı. Geliştiricilerin, bu araçları kullanırken hangi dosyalara erişim izni verdiklerini dikkatlice kontrol etmeleri ve güvenlik güncellemelerini takip etmeleri hayati önem taşıyor.
Kaynak: infosecurity-magazine.com