SkillCloak ile Yapay Zeka Tabanlı Zararlı Beceriler Statik Taramaları Aşabiliyor

Anasayfa » SkillCloak ile Yapay Zeka Tabanlı Zararlı Beceriler Statik Taramaları Aşabiliyor
SkillCloak ile Yapay Zeka Tabanlı Zararlı Beceriler Statik Taramaları Aşabiliyor

Hong Kong Bilim ve Teknoloji Üniversitesi’nden araştırmacılar, kötü niyetli yapay zeka ajanlarının becerilerini statik taramalardan nasıl gizleyebileceğine dair yeni bir yöntem geliştirdi. “SkillCloak” adlı araç, zararlı yazılımların algılanmasını engellemek için becerileri kendiliğinden açılan paketler halinde yeniden düzenliyor ve bu yöntemle sekiz farklı tarayıcının %90’ından fazlasını aşmayı başardı.

Yapay Zeka Ajanlarının Beceri Paketi Nedir?

Yapay zeka kodlama ajanları, yeni fonksiyonlar kazanmak için “beceriler” olarak adlandırılan paketleri yükler. Genellikle Markdown talimat dosyasıyla birkaç betikten oluşan bu paketler, ajanların kendi erişim izinleriyle çalışır; yani kullanıcının dosyalarına, terminaline ve kayıtlı parolalarına erişebilirler. Ancak kötü amaçlı beceriler, kimlik bilgilerini çalabilir, kaynak kodu kopyalayabilir veya arka kapı kurabilir.

Piyasadaki birçok beceri, yeterince denetlenmeden anonim kullanıcılar tarafından yükleniyor. Mevcut savunma mekanizması ise becerileri yüklemeden önce inceleyen statik tarayıcılar. Fakat “SkillCloak” ile bu tarayıcıların büyük çoğunluğu yanıltılabiliyor.

SkillCloak’un İki Farklı Gizleme Yöntemi

İlk yöntem, zararlı komutların tarayıcıların aradığı karakter dizilerini değiştirmeden görünüşünü bozan hafif modifikasyonlar içeriyor. Örneğin, benzer görünümlü farklı alfabeden karakterler kullanmak veya kod satırlarını yeni satıra bölmek gibi. Böylece komut hâlâ çalışıyor ama tarayıcılar tarafından fark edilmiyor.

Daha kapsamlı yöntem ise “kendiliğinden açılan paketleme” tekniği. Zararlı kod, tarayıcıların göz ardı ettiği .git/ gibi dizinlere gizleniyor ve sadece beceri çalıştırıldığında, görünüşte zararsız bir çözücü tarafından açılıyor. Tarayıcılar bu klasörleri genellikle zaman kazanmak ve yanlış alarmları engellemek için atlıyor. Bu boşluk, zararlının kaçış noktası oluyor.

Gerçek Pazar Yerlerinden Toplanan Veriler

ClawHub adlı halka açık bir pazar yerinden alınan 1.613 gerçek zararlı beceri üzerinde yapılan testlerde, paketleme yöntemi sekiz farklı tarayıcının %90’ından fazlasını aştı; bazı tarayıcıları ise %99’un üzerinde atlattı. Hafif yeniden yazma yöntemi ise çoğu tarayıcıda %80’in üzerinde başarı gösterdi.

Önemli olan, bu gizleme yöntemlerinin becerinin çalışmasını engellememesi; Claude Code ve OpenAI Codex gibi popüler ajanlarda gizli beceriler, orijinalleri kadar işlevsel kaldı.

Davranışa Odaklanan Yeni Bir Savunma: SkillDetonate

Dosyaların görünüşü yanıltıcı olabildiği için araştırmacılar, becerinin çalışma zamanında ne yaptığına bakmanın daha etkili olduğunu savunuyor. “SkillDetonate” adlı araç, beceriyi izole bir ortamda çalıştırıyor ve işletim sistemi seviyesinde dosya okuma-yazma, ağ iletişimi gibi etkinlikleri takip ediyor.

Özellikle hassas verilerin şifreleme ya da base64 gibi formatlarda taşınması bu yöntemi yanıltmıyor çünkü veri akışını kaydediyor. Ayrıca, becerinin çalışma zamanında oluşturduğu komutları da takip ederek “SkillCloak”un paketleme yöntemine karşı koyuyor.

Kontrollü deneylerde, SkillDetonate %97 tespit başarısı gösterirken, yanlış pozitif oranı sadece %2 oldu. Gerçek dünyadaki zararlılarda ise %87 başarı sağladı. Buna karşın en güçlü test edilen tarayıcı olan Cisco’nun aracı, paketlemeden önce %99 tespit yaparken, sonrasında bu oran %10’a düştü.

Statik Taramaların Sınırları ve Gerçek Dünya Tehdidi

Bu teknikler teoride kalmıyor; Bitdefender ve Koi Security gibi firmalar, halka açık beceri pazarlarında yüzde 15-20 arasında zararlı içerik tespit etti. Örneğin ClawHub’daki bazı beceriler, README dosyasına 22 MB gereksiz veri ekleyerek tarayıcıların boyut sınırını aşıyor ve bu sayede gizleniyor. Başka beceriler ise Mac şifre hırsızlığı ya da finansal tavsiye ajanlarının arkasından gizli bağlantılar gönderiyor.

Üstelik benzer yöntemler, GitHub gibi kod depolarında da görülüyor. Örneğin, bir geliştiricinin deposu temiz görünürken, çalışma zamanında DNS üzerinden zararlı kod çekilerek ters kabuk açılması sağlandı.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

Statik taramalar hâlâ önemli ve düşük maliyetli bir savunma katmanı olarak kalmalı; ancak becerilerin davranışlarını izlemek kaçınılmaz hale geliyor. Özellikle büyük boyutlu, yüksek entropili dosyaların gizlendiği .git/ veya build/ gibi dizinler dikkatle incelenmeli. Ayrıca, kodu çalışma zamanında açan veya dosya boyutunu aşırı büyüten beceriler şüpheli kabul edilmeli.

Kurumların mümkün olduğunca yalnızca güvenilir kaynaklardan beceri yüklemesi ve ajanlara gereksiz erişim izinleri vermemesi kritik. Bu durum, özellikle hassas verilerin ve kritik altyapıların korunduğu ortamlarda büyük önem taşıyor.

Sonuç

Yapay zeka destekli ajanların becerilerinde görülen bu yeni gizleme teknikleri, statik taramaların sınırlarını açığa çıkarıyor. Saldırganlar, becerinin çalışma zamanındaki davranışını değiştirmedikçe, statik analiz çoğu zaman yanıltılabilir. Bu nedenle güvenlik kararları sadece becerinin teslim edildiği anda değil, çalıştırıldığı ortamda da verilmelidir.