GitHub Codespaces üzerinde keşfedilen RoguePilot açığı, kötü niyetli kullanıcıların GitHub sorunları içine zararlı Copilot talimatları enjekte ederek hassas verilerin sızdırılmasına olanak sağlıyor. Bu güvenlik zafiyeti, Orca Security tarafından tespit edilip kod adı RoguePilot olarak adlandırıldı ve Microsoft tarafından sorumlu bildirim sonrası hızla yamalandı.
Saldırının Genel Çerçevesi
Saldırı, kötü niyetli bir GitHub sorununun oluşturulmasıyla başlıyor. Şüphelenmeyen bir geliştirici bu sorundan bir Codespace başlattığında, yerleşik GitHub Copilot sorunun açıklamasını otomatik olarak istem olarak alıyor ve bu zararlı istem, Copilot’un davranışını manipüle ederek GITHUB_TOKEN gibi ayrıcalıklı bilgilerin saldırganın kontrolündeki uzak sunucuya sızdırılmasını sağlıyor. Bu yöntem, dolaylı istem enjeksiyonu (indirect prompt injection) olarak sınıflandırılıyor ve yapay zeka destekli tedarik zinciri saldırılarının yeni bir varyantı olarak öne çıkıyor.
Saldırı Zinciri ve Teknik Detaylar
- Kötü niyetli GitHub sorunu oluşturulur ve içine zararlı istem HTML yorum etiketi “<!–the_prompt_goes_here–>” ile gizlenir.
- Şüphelenmeyen kullanıcı bu sorundan Codespace başlatır.
- GitHub Copilot, sorunun açıklamasını otomatik olarak alır ve zararlı talimatları işler.
- Copilot, GITHUB_TOKEN gibi hassas bilgileri saldırganın kontrolündeki sunucuya sızdırır.
Bu saldırı, Copilot’un sembolik bağlantı içeren özel pull request’leri kontrol etmesiyle de tetiklenebilir; böylece uzak JSON $schema kullanılarak hassas tokenlar sızdırılabilir. Bu teknik, MITRE ATT&CK çerçevesinde T1552.001 (Credentials in Files) ve T1589.002 (Supply Chain Compromise: Source Code) tekniklerine paralel bir risk oluşturuyor.
Yapay Zeka ve İstem Enjeksiyonu Saldırıları
RoguePilot açığı, yapay zeka modellerinin (LLM) istem enjeksiyonlarına karşı ne kadar savunmasız olduğunu gösteriyor. Microsoft’un GRPO (Group Relative Policy Optimization) teknikleriyle yaptığı araştırmalar, pekiştirmeli öğrenmenin kötü amaçlı kullanımla güvenlik önlemlerini aşabileceğini ortaya koydu. Ayrıca, ShadowLogic ve Semantic Chaining gibi yeni yöntemler, yapay zeka modellerinde arka kapı açma ve çok aşamalı jailbreak saldırılarını mümkün kılıyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- GitHub Codespaces ve Copilot kullanımında erişim izinlerini sıkılaştırın ve GITHUB_TOKEN gibi hassas tokenların kapsamını minimuma indirin.
- GitHub sorunlarında ve pull requestlerde olağan dışı içerik ve istemleri düzenli olarak denetleyin.
- EDR ve SIEM sistemlerinde Copilot ve Codespaces aktiviteleri için özel kurallar oluşturun ve anormal davranışları tespit edin.
- IAM politikalarında least privilege prensibini uygulayarak otomatik erişimlerin sınırlandırılmasını sağlayın.
- Bulut güvenliği çözümlerinde Zero Trust mimarisini benimseyerek her erişimi doğrulayın.
- GITHUB_TOKEN gibi hassas bilgilerin loglanmasını ve izlenmesini sağlayarak sızıntı durumlarını hızlıca tespit edin.
- Geliştirici ekiplerine e-posta güvenliği ve sosyal mühendislik saldırılarına karşı eğitimler verin.
- Olay müdahale planlarında yapay zeka kaynaklı saldırılara yönelik senaryolar ekleyin ve tatbikatlar yapın.
Kurumsal Ortamda Olası Senaryo
Örneğin, bir SaaS sağlayıcısında geliştiriciler GitHub Codespaces kullanarak uygulama geliştirmektedir. Saldırgan, şirketin GitHub deposunda bir sorun oluşturur ve içine zararlı istemi gizler. Bir geliştirici bu sorundan Codespace başlattığında Copilot, zararlı talimatları işler ve GITHUB_TOKEN’ı saldırganın sunucusuna sızdırır. Böylece saldırgan, bulut ortamına yetkisiz erişim elde ederek veri sızıntısı ve hizmet kesintisi gibi ciddi sonuçlara yol açabilir.
Bu tür saldırılar, bulut güvenliği ve ağ segmentasyonu stratejilerinin önemini artırmakta, ayrıca olay müdahale ekiplerinin yapay zeka kaynaklı tehditlere karşı hazırlıklı olmasını zorunlu kılmaktadır.
Teknik Özet
- Zararlı araç/teknik: RoguePilot istem enjeksiyonu, GRP-Obliteration, ShadowLogic, Semantic Chaining
- Hedeflenen sistemler: GitHub Codespaces, Copilot, LLM tabanlı yapay zeka asistanları
- Kullanılan zafiyet: İstem enjeksiyonu yoluyla GITHUB_TOKEN sızıntısı (CVE henüz verilmemiş)
- Saldırı zinciri: Zararlı GitHub sorunu oluşturma → Codespace başlatma → Copilot istem enjeksiyonu → Hassas token sızıntısı
- Önerilen savunma: Güncel yamaların uygulanması, erişim kısıtlamaları, EDR ve SIEM ile anomali tespiti, IAM ve Zero Trust politikaları