EDITION
iToverDose/Yazılım· 24 HAZIRAN 2026 · 20:08

AI Aracınızın Yerel Sunuculara Erişimini Nasıl Güvenceye Alırsınız?

AI ajanlarınızın yerel hizmetlere erişimini güvenli hale getirmek için bu basit adımları uygulayın. Microsoft’un AutoJack araştırması, yerel sunucuların artık ne kadar savunmasız olduğunu gözler önüne seriyor.

DEV Community4 dk okuma0 Yorumlar

Son yıllarda, üretim API’larınızı korumak için ciddi adımlar attınız. Herkese açık internetten gelen herhangi bir talebi, doğrulanana kadar potansiyel tehdit olarak görüyorsunuz. Yapay zeka modellerinin istismar edilme riskine karşı da yıllardır hazırlık yapıyorsunuz. Ancak yerel sunucular (localhost) için genellikle bu kuralların dışında kalıyordunuz. Microsoft’un 18 Haziran’da yayınlanan AutoJack araştırması, bu istisnanın artık güvenli olmadığını gösteriyor. Neden mi? Çünkü AI aracınız, yerel sunucuları gizlice internete taşıyor.

Microsoft’un Bulduğu Gerçekler

AutoJack, AutoGen Studio’nun MCP WebSocket yüzeyindeki bir geliştirme sürümünde üç zayıflığı zincirledi. Temelde, üç güvenilir varsayımın art arda çökmesiyle ortaya çıktı.

  • İlk varsayım: Köken izin listesi, yerel sunucuların sadece yerel makineden erişilebilir olduğunu varsayıyordu. Bu durum, bir kullanıcının tarayıcısı saldırgan bir sayfaya girdiğinde geçerliydi. Ancak AI aracınızın başsız tarayıcısı, yerel erişimi de beraberinde getirdiğinde bu varsayım çöktü.
  • İkinci varsayım: MCP WebSocket yolu, uygulamanın kimlik doğrulama ara yazılımından geçmesini bekliyordu. Oysa bu kontrol hiç var olmadı.
  • Üçüncü varsayım: WebSocket, komut parametrelerini doğrudan URL’den aldı ve bu parametreleri MCP sunucuları başlatan işleme aktardı. Böylece "Bir MCP sunucusu başlat" komutu, sessizce "Saldırganın komutunu çalıştır" haline geldi.

Microsoft, bu hatanın PyPI sürümünde yayınlanmadığını ve açıklamanın ardından dalın güvenlik açısından güçlendirildiğini belirtiyor. Yani spesifik bir hata kontrol altında. Ancak bu hatanın şekli, gelecekteki tehditlerin bir habercisi.

Neden Bu Durum Sadece AutoGen’i Değil, Sizi de İlgilendiriyor?

AutoJack, bir karışıklık-yetkilendirme saldırısı örneğidir. Bu saldırı tipi, genellikle prompt enjeksiyonunda karşımıza çıkar. Buradaki fark, kimin karıştırıldığıdır. Bu sefer, model değil, modelin etrafındaki çalışma zamanı karıştırılıyor. Saldırgan, doğrudan makinenize erişmedi. Sadece bir sayfa yazdı. AI aracınız, o sayfayı getirdi, yerel bir hizmetle aynı ekranda görüntüledi ve asla test etmediğiniz bir varsayım çöktü: "Sadece yerel makineden erişilebilir" ifadesi, artık "dışarıdan kimse erişemez" anlamına gelmiyor.

Bu durumu kendi yığınınıza uygulayın. MCP sunucuları, tarayıcı köprüleri, IDE yardımcıları, dosya araçları, kabuk çalıştırıcıları, kimlik bilgisi broker’ları... Bunların hiçbirini, kimlik doğrulaması olmadan kamu internetine maruz bırakmazsınız. Ancak çoğu, AI aracınız üzerinden zaten bu erişime sahip. Yalnızca yerel olarak bağlandıkları için bunu fark etmiyorsunuz. AI aracınız, yerel erişimi internete taşıyan parça oldu. Başka hiçbir şey değişmedi.

Bu Durum Yığınınızda Nereye Oturuyor?

Bu, Araç Katmanı adı verilen bir başarısızlıktır. Bu katmanda, model konuşmayı bırakır ve gerçek dünyaya dokunmaya başlar. AutoJack, Araç Katmanı’nın sadece aracın kendisi olmadığını kanıtlıyor. Aynı zamanda bu katmanda yer alan yapıştırıcı unsurlar da önemli: yerel WebSocket, atlanan kimlik doğrulama kontrolü, parametre ayrıştırıcı ve işlem başlatıcı. AI aracınızın okuduğu içerik, bu unsurları etkileyebiliyorsa, araç sınırınız sadece dekorasyondan ibaret demektir.

Geçtiğimiz sayılarımızda, Denetim Katmanı için ajan adliyesine ve Araç Katmanı için yetkiyi ajanın dışına taşımanın önemine değindik. AutoJack, bu başarısızlığın her ikisinden önce geldiğini gösteriyor: AI aracınız, yerel yetkilere erişimi, bir web sayfası üzerinden başlatabiliyordu. Anthropic’in "AI Ajanları için Sıfır Güven" yaklaşımı da aynı şeyi başka bir açıdan doğruluyor. Yerel olarak bağlanan ve asla kimlik doğrulaması yapılmayan her çağrıyı, potansiyel bir tehdit olarak görmelisiniz.

Bu Hafta Ne Yapmalısınız?

Bu öneriler yeni değil. Bunlar, zaten internete açık olan her yüzeye uyguladığınız kontrollerin aynısı. Yalnızca yerel sunuculara uygulamanız gerekenleri hatırlatıyor.

  • AI aracınızın erişebileceği yerel hizmetleri envanterleyin.
  • MCP sunucuları
  • Tarayıcı köprüleri
  • Yerel panolar (localhost dashboards)
  • IDE uç noktaları
  • Kabuk yardımcıları

Üretim ortamınızda zaten bu envanteri tutuyorsunuz. Yerel sunucular için boş bıraktığınız satırı doldurun.

  • Yerel kontrol düzlemlerinde kimlik doğrulaması gerektirin.

"Sadece yerel makineden erişilebilir" ifadesi, kimlik doğrulaması değildir. Bunu diğer tüm yüzeylerde zaten biliyorsunuz. Yerel WebSocket’leri ve HTTP uç noktalarını, üretim API’ları gibi ele alın. Çünkü bugün onlar da öyle.

  • URL’den komut başlatmayı engelleyin.

Bir araç çalıştırıcı, sabit ve incelenmiş bir komut listesinden başlatılmalıdır. Kullanıcı tarafından sağlanan bir parametre, asla çalıştırılabilir dosya haline gelmemelidir. Bu, girdi doğrulama kuralını her yerde uyguladığınız şekilde koruyun.

  • Tarama ve yürütmeyi ayırın.

Güvensiz sayfaları işleyen süreç, araçları çalıştırabilecek sürece doğrudan erişim sağlayamaz. Herhangi bir hizmetin saldırgan girdileri işlediği gibi, ayrıcalık ayrımı uygulayın.

  • Sınır geçişlerini günlüğe kaydedin.

AI aracınızın başlattığı tarayıcı bağlamı, yerel bir hizmete dokunduğunda, bu olay denetim kaydınıza eklenmelidir. Diğer her yerde kimlik doğrulama olaylarını kaydediyorsunuz. Buna bir de bunu ekleyin.

Taşınması Gereken Örüntü

AI güvenliğinin ucuz versiyonu, "modeli sandbox’layın" şeklindedir. AutoJack, modelin aslında en tehlikeli parça olmadığını hatırlatıyor. Tehlikeli olan, her çağrıyı dost olarak varsayarak çalışan sıradan bağlayıcı unsurlardır. Bu ay SafeBreach’ın yayınladığı Gemini çalışması da benzer bir durumu ortaya koyuyor: Güvensiz içerik işleyen bir asistan, hiç kimsenin fark etmediği bir sınırı geçmenin yolunu açabiliyor.

Bu hafta için kendinize tek bir soru sorun: AI aracınızın internetten tarama işlemi bittiğinde, yerel olarak hangi hizmetlere erişebiliyor? Önce siz bulun, sonra birileri sizin için sayfayı yazmadan.

Neeraj

Daha Derine İnmek İçin

  • Microsoft Güvenlik Blog’u: AutoJack: Tek bir sayfa, AI aracını çalıştıran makinede uzaktan kod yürütme yapabilir mi?
  • Anthropic: AI Ajanları için Sıfır Güven
  • SafeBreach Labs: Gemini’nin Gizli İlişkisi: Anlık Mesajlaşma Uygulamaları Üzerinden Gemini Sesli Asistanının İstismarı

Yapay zeka özeti

AI ajanlarınızın yerel hizmetlere gizlice erişimini engellemek için gerekli adımları öğrenin. Microsoft’un AutoJack araştırmasıyla yerel sunucuların ne kadar savunmasız olduğunu keşfedin.

Etiketler

#ai ajan güvenliği#localhost güvenliği#microsoft autojack#ai agent exploit#localhost saldırıları#ai araç katmanı güvenliği#ai yerel hizmet erişimi#promp enjeksiyon

Yorumlar

00
YORUM BIRAK
ID #IECDOF

0 / 1200 KARAKTER

İnsan doğrulaması

2 + 4 = ?

Editör onayı sonrası yayına girer

Moderasyon · Spam koruması aktif

Henüz onaylı yorum yok. İlk yorumu sen bırak.

Benzer haberler