Otonom AI Kod İnceleyiciler, Zararlı Yazılımları Çalıştırmaya Açık Hale Geliyor

Anasayfa » Otonom AI Kod İnceleyiciler, Zararlı Yazılımları Çalıştırmaya Açık Hale Geliyor

Yapay zekâ destekli otomatik kod analiz araçları, kendilerine verilen komutları onaylayarak çalıştıklarında, zararlı kodları fark etmeden çalıştırılabilir hale geliyor. Bu durum, özellikle üçüncü taraf kaynaklardan gelen kodları güvenlik taramasından geçirmek üzere tasarlanmış yapay zeka ajanlarını hedef alıyor.

Saldırının Temeli ve Etkilenen Sistemler

Bir kanıt konsepti olarak ortaya konan saldırı, yapay zekâ tabanlı Anthropic’in Claude Code ve OpenAI’nın Codex modellerine yönelik. Her iki araçta da bulunan otonom mod, komutları otomatik onaylayarak yürütme yeteneği sunuyor. Ancak bu mod, zararlı kodları tespit etmek yerine saldırganların eline geçebiliyor.

Denemeler, Claude Code’un farklı sürümleri (CLI 2.1.116, 2.1.196, 2.1.198, 2.1.199) ve OpenAI Codex’in GPT-5.5 tabanlı versiyonu üzerinde yapıldı. Otonom modlar, komutları riskli olup olmadığına göre sınıflandıran bir mekanizma kullanıyor; ancak yalnızca riskli gördüklerini durduruyor. Bu da saldırganlara, kodun içine gizlenmiş kötü niyetli komutları rahatlıkla çalıştırma imkânı veriyor.

Saldırı Yöntemi ve Teknik Detaylar

Araştırmacılar, popüler Python kütüphanesi geopy‘yi hedef alan örnek bir saldırı senaryosu geliştirdi. Kütüphane içine, README.md dosyasına bir güvenlik kontrolü scripti olarak security.sh eklendi. Bu script normal görünürken, arka planda gizli bir ikili dosya (binary) çalıştırıyor ve gerçek kötü amaçlı yükü taşıyor.

Özellikle dikkat çeken nokta, bu gizli binary’nin, yanındaki zararsız bir Go dilindeki derlenmiş dosya gibi kılık değiştirmesi oldu. Claude Code’un kod parçalarını çözümleyerek yaptığı kontroller, bu sahtelemeyi fark etmedi. README.md dosyasındaki basit bir çağrı, ajanı bu scripti çalıştırmaya yönlendirdi; ne uyarı verildi ne de onay istendi.

Önceki saldırılar genellikle yapılandırma dosyalarındaki güvenlik boşluklarına dayanıyordu. Ancak bu yeni yöntem, herkesin kullandığı basit bir metin dosyasına yerleştiği için çok daha geniş bir saldırı yüzeyi oluşturuyor.

Model Güncellemeleri Çözüme Yetmiyor

Farklı model ve sürümlerde test edilen saldırı, herhangi bir değişikliğe uğramadan başarılı oldu. Bu durum, sorunun yapısal bir sorun olduğunu ortaya koyuyor; yani sadece model güncellemeleriyle kapatılamıyor. Yapay zekâ ajanları, okudukları kod ile uygulamaları gereken komutları ayırt etmekte halen zorlanıyor.

Güvenlik Ekiplerine ve Yöneticilere Öneriler

Yapılan inceleme, güvenilmeyen üçüncü taraf kodların komut çalıştırma yeteneği olan yapay zekâ ajanlarına verilmemesi gerektiğini vurguluyor. Bu, özellikle bu yapay zekâ araçları üçüncü taraf kodları denetlemek için tercih ediliyorsa önemli bir risk oluşturuyor.

Bir başka kritik uyarı, ajanların README gibi sadece dokümantasyon amaçlı dosyalardan komut çalıştırmaya yönlendirilebilmesi. Bu tür durumları tespit etmek için, ajanların bir dosyayı veya ikiliyi çalıştırmadan önce mutlaka insan onayı istemesi gerekiyor.

Teknik Özet

  • Kullanılan araçlar: Claude Code (Anthropic), Codex (OpenAI)
  • Hedeflenen kütüphane: Geopy (Python)
  • Saldırı yöntemi: README.md içinden gizli bir ikili dosya çalıştırılması
  • Zafiyet sınıfı: Komut onay mekanizmasının yetersizliği
  • Öneri: Güvenilmeyen kodların komut çalıştıran AI ajanlarına verilmemesi, sandbox ve sıkı erişim kontrolleri

Uygulama Alanları ve Risk Senaryosu

Bir bulut hizmet sağlayıcısının, açık kaynaklı kütüphaneleri otomatik olarak denetlemek için yapay zekâ ajanlarından faydalandığını düşünün. Bu ajanlardan biri, son derece sofistike bir şekilde gizlenmiş zararlı kodu README dosyası üzerinden çalıştırırsa, saldırganlar bulut ortamına kolayca sızabilir. Sonrasında, anahtarlar veya kritik sistemlere erişim sağlanması riski ortaya çıkar.

Sonuç ve Alınabilecek Önlemler

Bu çalışma, yapay zekâ tabanlı kod inceleme süreçlerinde otomasyonun güvenlik açıklarına kapı araladığını gösteriyor. Kurumlar, güvenilmeyen kaynaklardan gelen kodları asla doğrudan komut çalıştırabilen ajanlara vermemeli. Ayrıca, güvenlik ekiplerinin yapay zekâ ajanlarının çalıştırdığı her ikili ve script dosyasını dikkatle izleyip analiz etmesi gerekiyor.

Sandık uygulamalar (sandboxing) önemli bir önlem olsa da, %100 güvenlik sağlamıyor. Çünkü bu tür yapılar da zaman zaman atlatılabiliyor. Bu yüzden insan gözetimi ve çok katmanlı güvenlik stratejileri ihmal edilmemeli.

Bu tür saldırıların benzerleri daha önce de görülmüştü; ancak bu sefer problem, çok daha yaygın kullanılan araçlarda ve daha az göze çarpan dosyalarda ortaya çıktı. Halihazırda kullanılan güvenlik politikaları hızla gözden geçirilmeli, yapay zekâ ajanlarının kullanım alanları yeniden değerlendirilmelidir.