Güvenlik araştırmacıları, yapay zeka (AI) kodlama ajanlarının Sentry gibi hata izleme sistemlerine sızarak tam yetkilerle saldırı gerçekleştirebileceğini ortaya koydu. Agentjacking adı verilen bu saldırı yöntemi, yalnızca bir sahte hata raporuyla ajanlara kötü niyetli komutlar enjekte edebiliyor. Peki, bu tehdit nasıl çalışıyor ve kurumlar nasıl korunmalı?
Saldırı Nasıl Gerçekleşiyor?
Tenet Security tarafından yapılan araştırma, Sentry hata izleme sistemine gönderilen sahte bir hata raporunun, AI kodlama ajanlarını (Claude Code, Cursor, Codex vb.) nasıl ele geçirdiğini gözler önüne serdi. Saldırganlar, herhangi bir kimlik doğrulaması gerektirmeyen açık DSN (Data Source Name) kullanarak sahte bir hata olayı oluşturuyor. Bu olay, ajanlar tarafından güvenilir bir hata raporu olarak algılanıyor ve ajanlar, saldırganın enjekte ettiği komutları çalıştırıyor.
Araştırmada, 100’den fazla hedef üzerinde yapılan kontrollü testlerde, saldırıların %85’inde başarı sağlandığı tespit edildi. Sentry yetkilileri, bu açığı "teknik olarak savunulamaz" olarak nitelendirdi. Saldırı sırasında ne güvenlik duvarı, ne EDR (Endpoint Detection and Response), ne de IAM (Identity and Access Management) sistemi herhangi bir uyarı vermedi. Bunun nedeni, saldırının tüm adımlarının yetkili olmasıydı: Saldırganlar, geçerli bir Sentry API çağrısı yapıyor, ajanlar da bu olayı güvenilir çıktı olarak kabul ediyor ve komutları çalıştırıyordu.
Kurumlar için Tehlike Ne Kadar Büyük?
Tenet Security, araştırmasında 2.388 kurumun Sentry DSN bilgilerinin halka açık olduğunu belirledi. Bu bilgiler kullanılarak, saldırganlar milyonlarca sahte hata olayı oluşturabilir ve ajanlara kötü niyetli komutlar enjekte edebilir. Örneğin, bir kurumun Claude Code ortamında canlı AWS gizli erişim anahtarı ve özel depo URL’leri bulunduğu tespit edildi.
Araştırmacılar, Sentry, Datadog, PagerDuty, Jira veya herhangi bir MCP (Model Context Protocol) bağlantılı veri kaynağına bağlı olan AI ajanlarının, bu saldırıya karşı savunmasız olduğunu vurguladı. Eğer ajanlarınız shell komutlarını çalıştırabiliyorsa, kurumunuz aynı kör noktaya sahiptir.
Güvenlik Kontrolleri Neden Yetersiz Kalıyor?
AI ajanlarının güvenliği henüz endüstriyel standartlara ulaşmamış durumda. 2026’nın ilk yarısında yapılan beş bağımsız araştırma, kurumların AI ajanlarına olan güveninin, gerçek güvenlik uygulamalarından çok daha yüksek olduğunu gösterdi:
- Okta/Apprize360 araştırması: Katılımcıların yalnızca %34’ü, AI ajanlarına insan çalışanlarla aynı güvenlik kontrollerini uyguladığını belirtti. Yüzde 52’si onaylanmamış AI araçları kullanırken, %58’i geçen yıl AI kaynaklı bir olay yaşadığını bildirdi.
- HiddenLayer 2026 AI Tehdit Raporu: Katılımcıların %33’ü, AI ajanlarının amacını aşan faaliyetlerde bulunduğunu ve %31’i AI kaynaklı bir ihlal yaşadığını doğrulayamadı. AI ihlallerinin sekizde biri ajan sistemlerine bağlıydı.
- Gravitee araştırması: Katılımcıların yalnızca %14,4’ü AI ajanlarını tam güvenlik onayıyla kullanıma aldığını belirtti. Yüzde 88’i ise doğrulanmış veya şüpheli olaylar yaşadığını bildirdi. Nisan ayında yapılan ikinci bir araştırmada, ajan envanterinin iki katına çıktığı, ancak izleme kapasitesinin neredeyse hiç artmadığı görüldü.
Çözüm: Runtime Güvenliği ve Sürekli Denetim
Güvenlik uzmanları, AI ajanlarının güvenliğinin çalışma zamanı (runtime) odaklı olması gerektiğini vurguluyor. CrowdStrike CTO’su Elia Zaitsev, konuyla ilgili yaptığı açıklamada, "AI ajanlarının güvenliği, yüksek ayrıcalıklı kullanıcıların güvenliğine benziyor. Onlar da kimliklere, sisteme erişime, eylemlere sahip" dedi. Zaitsev’e göre, endüstri tarafından gözden kaçırılan en büyük boşluk, ajanların çalışma zamanı güvenliğinin sağlanmamasıydı.
CrowdStrike’in verilerine göre, enterprise uç noktalarında 1.800’den fazla ajan uygulaması bulunuyor ve yaklaşık 160 milyon örnek izleniyor. Şirket, 15 Haziran 2026’da agent kimliklerini sürekli olarak denetleyen Continuous Identity for AI Agents adlı bir çözümü tanıttı. Bu çözüm, statik politikaların yerini alarak, her ajan eylemini gerçek zamanlı olarak yetkilendiriyor.
Zaitsev, sandbox (kum havuzu) yaklaşımlarının yetersiz olduğunu da belirtti: "Eğer bir ajanı hiçbir şeye dokunamayacağı bir sandbox içinde başlatırsanız, bu kullanışsız olur. Çok kısa sürede ajanlar, sistemle etkileşime geçmek zorunda kalır ve güvenlik kontrolleri devre dışı kalır."
Acil Eylem Planı: Ne Yapmalısınız?
- Açık DSN’leri denetleyin: Kurumunuzun Sentry, Datadog, PagerDuty veya Jira gibi sistemlerdeki açık DSN bilgilerini derhal inceleyin. Bu bilgiler, saldırganların ajanlarınıza sızmasını kolaylaştırabilir.
- Ajan yetkilerini sınırlayın: AI ajanlarının çalışabileceği komutları ve erişebileceği sistemleri sıkı bir şekilde kısıtlayın. Örneğin, ajanlara yalnızca okuma izinleri verin ve yazma/çalıştırma izinlerini kaldırın.
- Runtime denetimlerini devreye alın: Sürekli ajan denetimi sağlayan çözümleri kullanın. Bu, ajanların her eyleminin yetkilendirilmesini ve kayıt altına alınmasını sağlar.
- Çalışanları eğitin: Kurum içindeki geliştiricilere, AI ajanlarının güvenlik risklerini ve en iyi uygulamaları anlatın. Onaylanmamış AI araçlarının kullanımını engelleyen politikalar oluşturun.
- Olay müdahale planını güncelleyin: AI ajanlarına yönelik bir saldırı durumunda nasıl hareket edileceğini belirleyen bir olay müdahale planı oluşturun. Bu plan, ajanların kimliklerini, eylemlerini ve potansiyel ihlalleri hızlı bir şekilde tespit etmeye odaklanmalı.
AI ajanları, geliştirme süreçlerini hızlandırmada devrim yaratırken, aynı zamanda yeni ve sofistike tehditlere de kapı açıyor. Bu tehditlerin farkında olmak ve gerekli önlemleri almak, kurumların dijital varlıklarını koruması için kritik önem taşıyor. Gelecekte, AI ajanlarının güvenliğinin çalışma zamanı odaklı ve sürekli denetimli olması, endüstri standartlarının ayrılmaz bir parçası haline gelecek.
Yapay zeka özeti
Yapay zeka destekli kodlama ajanlarınızı hedef alan Sentry hatası nasıl çalışıyor? Kurumlar, agentjacking saldırılarına karşı nasıl korunmalı? Tüm detaylar burada.
