Araştırmacılar, yapay zeka kodlama aracılarını geliştirici makinelerde rastgele kod çalıştırmaya yönlendiren "yeni bir saldırı sınıfı" olduğunu iddia ettikleri şeyi ortaya çıkardılar.
Otonom yapay zeka aracısının güvenliği konusunda uzmanlaşan Tenet Security, "ajan hırsızlığı" saldırılarının, geliştiriciler arasında popüler olan Sentry uygulama performansı izleme ve hata izleme aracındaki mimari bir kusurdan yararlandığını söyledi.
Bir saldırgan, Tenet raporunda açıklanan teknikleri kullanarak Sentry hata olaylarına, aracın kendi düzeltme kılavuzundan ayırt edilmesi imkansız olan kötü amaçlı komutlar enjekte edebilir.
Yapay zeka kodlama aracıları daha sonra bu talimatları, dolaylı anlık enjeksiyon saldırısına benzer bir şekilde okuyup yürütür.
Gelecekte Ne Bekleniyor?
Kodlama aracıları hakkında daha fazlasını okuyun: Cline Kanban Kusuru, Web Sitelerinin Yapay Zeka Kodlama Aracılarını Ele Geçirmesine İzin Veriyor
Sonuç ve Değerlendirme
Tenet bir blog yazısında şöyle açıkladı: "Tehlike bu örtülü güvende yatmaktadır. Bir AI aracısı, Sentry'yi çözülmemiş hatalar için sorguladığında, yanıtı alır ve buna göre hareket eder - tıpkı bir geliştiricinin yapacağı gibi," diye açıkladı Tenet.
"Ancak geliştiriciden farklı olarak aracı, bir hata olayının gerçek bir uygulama çökmesinden mi kaynaklandığını yoksa bir saldırgan tarafından mı enjekte edildiğini doğrulayamaz. Aracının MCP aracı yanıtlarına olan güveni, enjekte edilen verilerden kod yürütmeye doğrudan bir yol oluşturur."
Teknik Analiz
Adım Adım Saldırı Metodolojisi
Rapor, bir saldırının tam olarak nasıl çalışacağını açıkladı:
Saldırgan hedefin Sentry DSN'sini bulur. Bu, Sentry'nin ön uç JavaScript'e yerleştirmenin güvenli olduğunu belgelediği genel, salt yazılabilir bir kimlik bilgisidir. POST aracılığıyla Sentry'nin besleme uç noktasına kötü amaçlı bir hata olayı gönderirler. DSN'nin ötesinde kimlik doğrulamaya gerek yoktur Enjekte edilen olay, mesaj alanında ve bağlam anahtarı adlarında "dikkatle biçimlendirilmiş işaretleme" içerir. Sentry MCP sunucusu aracılığıyla bir AI aracısına geri gönderildiğinde, bu, Sentry'nin sistem şablonuyla görsel olarak aynı olan yapılandırılmış içerik olarak işlenir. Bir geliştirici, AI kodlama aracısından "çözülmemiş Sentry sorunlarını düzeltmesini" veya benzerlerini istediğinde, aracı, Sentry'yi MCP aracılığıyla sorgular ve kötü amaçlı olayı alır. Bunu meşru rehberlikten ayırt edemez Aracı, geliştiricinin tüm ayrıcalıklarıyla çalışan kodu yürütür
Önemli Gelişmeler
Güvenilir Araçları Hedefleme
Tenet, kimlik avı gerektirmediği için ajan korsanlığının özellikle tehlikeli olduğunu ve Sentry'nin DSN'sinin "kasıtlı olarak herkese açık ve ön uç JavaScript'e gömülü" olduğunu söyledi.
Temsilciler gerçeği sahte rehberlikten ayıramaz ve bir veri yükü oluşturulduktan sonra aynı anda binlerce projeye enjekte edilebilir.
Sistem Güvenliği
Araştırmacılar teorilerini, 100'den fazla gerçek dünya hedefine karşı sömürülebilirliği doğrulayarak test ettiler. Claude Code, Cursor ve Codex dahil piyasadaki en popüler acentelerde %85'lik bir başarı oranına sahiplerdi.
Ayrıca geçerli enjekte edilebilir DSN'lere maruz kalan en az 2388 kuruluş buldular.
Raporda, CI/CD işlem hattı kimlik bilgilerini çalmak, özel kaynak kodu depolarına erişmek, bulut altyapısını tehlikeye atmak ve kalıcı erişim oluşturmak için tek bir kötü amaçlı talimatın hazırlanabileceği uyarısı yapıldı.
Saldırı, tespit edilecek kötü amaçlı hiçbir şey olmadığından EDR ve web uygulaması güvenlik duvarları gibi mevcut güvenlik araçlarını atlıyor ve aracılar, güvenilmeyen verileri yok saymaları istendiğinde bile yükü yürütüyor.
Nasıl Önlem Alınmalı?
Raporda şu sonuca varılıyor: "Yapay zeka kodlama aracıları yazılım geliştirmeyi dönüştürürken, MCP aracı yanıtlarına olan örtülü güvenleri, kritik bir yeni saldırı yüzeyi yaratıyor. Gözlemlenebilirlik platformunuza bağlı bir yapay zeka asistanının rahatlığı, o asistanın size karşı silah haline getirilmesi riskini de beraberinde getiriyor."
"Güvenlik liderleri, yazılım tedarik zinciri saldırılarında bir sonraki sınırın MCP entegrasyonları olduğunun farkına varmalı. Yapay zeka temsilcilerinizin hangi araçlara bağlandığını, bu araçların güvenilmeyen verileri döndürüp döndürmediğini ve enjekte edilen verilerin kod yürütmeyi tetiklemesini önlemek için hangi kontrollerin mevcut olduğunu değerlendirmeye başlamak çok önemlidir."