Son 50 günde gerçekleşen dört AI tedarik zinciri saldırısı, hem açık kaynaklı hem de ticari yapay zeka sistemlerini hedef aldı. Üçü saldırı sonucu, biri ise insan hatasıyla meydana gelen bu olaylar, modellerin kendisinden ziyade yayınlama borularını, bağımlılık zincirlerini ve CI/CD süreçlerini istismar etti. Hiçbir değerlendirme ya da kırmızı takım testi bu riskleri şimdiye kadar kapsamadı.
Mini Shai-Hulud solucanı: 6 dakikada 84 kötü amaçlı paket
11 Mayıs 2026 tarihinde, Mini Shai-Hulud adlı kendi kendini yayan bir solucan, 42 farklı @tanstack/* npm paketine ait 84 kötü amaçlı sürümü yalnızca altı dakika içinde yayınladı. Saldırı, TanStack'ın yayınlama borusuna yerleştirilen release.yml dosyasından başladı ve ardışık olarak üç zafiyeti zincirledi:
pull_request_targetyapılandırmasının yanlış kullanımı- GitHub Actions önbelleğinin zehirlenmesi
- CI çalıştırıcı belleğinden OIDC token çıkarılması
Bu saldırıda, kötü amaçlı paketler, doğru depo ve çalıştırıcıdan yayınlandıkları için SLSA Seviye 3 güvenilirlik kanıtlarına sahipti. Ne bir kullanıcı hesabı ele geçirildi ne de iki faktörlü kimlik doğrulama sistemine müdahale edildi. Sistem tam olarak tasarlandığı gibi çalıştı — ve yine de 84 kötü amaçlı yapıt yayınlandı.
OpenAI'de makine sertifikaları iptal ediliyor: Arka kapıya giden yol
Bu saldırıdan yalnızca iki gün sonra OpenAI, iki çalışan cihazının tehlikeye girdiğini ve iç kod depo sistemlerinden kimlik bilgilerinin çalındığını doğruladı. Şirket, macOS güvenlik sertifikalarını iptal ederken tüm masaüstü kullanıcılarının 12 Haziran 2026 tarihine kadar güncelleme yapmasını zorunlu kıldı. OpenAI yaptığı açıklamada, CI/CD borusunu daha önceki bir tedarik zinciri saldırısından sonra sertleştirmiş olsa da, iki etkilenen cihazın henüz yeni yapılandırmaları almamış olduğunu belirtti. Bu durum, model güvenliğiyle değil, yayınlama borusu ihlaliyle örtüşen bir yanıt profili sergiliyor.
Dört vaka, tek bir ders: Yayınlama boruları savunmasız
Bu dört olay, AI tedarik zinciri güvenliğine dair ortak bir mimari eksikliği ortaya koyuyor. Modellerin kırmızı takım testleri ve sistem kartları, yayınlama borularını, bağımlılık kancalarını, CI çalıştırıcılarını ve paketleme güvenliklerini genellikle kapsamaz. Aşağıda yer alan olaylar, bu boşluğun ne kadar kritik olduğunu gösteriyor:
1. OpenAI Codex: Komut enjeksiyonu, bir dal adıyla başladı
BeyondTrust Phantom Labs araştırmacısı Tyler Jespersen, OpenAI Codex'in GitHub dal adlarını kabuk komutlarına doğrudan aktardığını ve herhangi bir temizleme işlemi uygulamadığını tespit etti. Bir saldırganın dal adına noktalı virgül ve ters tırnak alt kabuğu enjekte etmesiyle, Codex konteyneri bunu çalıştırdı ve kurbanın GitHub OAuth tokenini düz metin olarak geri döndürdü. Bu kusur, ChatGPT web sitesi, Codex CLI, Codex SDK ve IDE eklentisini etkiledi. OpenAI, hatayı Kritik Öncelik 1 olarak sınıflandırdı ve Şubat 2026'ya kadar düzeltmeyi tamamladı. Araştırma ekibi, Unicode karakterleri kullanarak kötü niyetli dal adını arayüzde "main" olarak görünecek şekilde tasarladı.
2. LiteLLM ve Mercor'un 47.000 indirme sonrası çöküşü
Tehdit grubu TeamPCP, Aqua Security'nin Trivy zafiyet tarayıcısının daha önceki bir ihlalinden elde ettiği kimlik bilgilerini kullanarak, PyPI'ye LiteLLM Python paketinin iki zehirlenmiş sürümünü yayınladı. LiteLLM, büyük AI altyapı ekipleri tarafından yaygın olarak kullanılan açık kaynaklı bir LLM proxy geçidiydi. Kötü niyetli sürümler yaklaşık 40 dakika yayında kaldı ve PyPI tarafından karantinaya alınmadan önce yaklaşık 47.000 indirme aldı.
Bu süre zarfında saldırı, Mercor adlı 10 milyar dolarlık AI veri startup'ına da yayıldı. Mercor, Meta, OpenAI ve Anthropic'e eğitim verisi sağlıyordu. Dört terabayt veri sızdırıldı ve Meta'nın özel eğitim metodolojilerine ait referanslar da dahil olmak üzere hassas bilgiler ele geçirildi. Meta, ortaklığı süresiz olarak dondurdu ve beş gün içinde bir grup dava açtı. Tek bir zehirlenmiş açık kaynak bağımlılığı, PyPI'de yalnızca 40 dakika kaldı ve tüm sektörü etkileyen bir patlama dalgası yarattı.
3. Anthropic'in kaynak haritasından tesadüfen sızdırılan 513 bin satır kod
Bu olay saldırı kaynaklı değildi. Anthropic, npm kayıt defterine 2.1.88 sürümünü yayınlarken 59,8 MB'lık bir kaynak harita dosyasını yanlışlıkla dahil etti. Bu dosya, Anthropic'in kendi Cloudflare R2 deposunda bulunan ve kimlik doğrulaması gerektirmeyen, 513 bin satırlık ve 1.906 dosyalık TypeScript kodunu işaret ediyordu. Bu dosyalar arasında ajan orkestrasyon mantığı, 44 özellik bayrağı ve sistem komut dosyaları yer alıyordu. Güvenlik araştırmacısı Chaofan Shou bu sızdırmayı birkaç saat içinde bildirdi ve Anthropic paketi geri çekti. Şirket, hatayı "insan hatası kaynaklı yayınlama paketleme sorunu" olarak nitelendirdi. Bu, yalnızca 13 ay içinde meydana gelen ikinci benzer sızdırma olayıydı. Kök neden, .npmignore dosyasındaki eksik bir satırdı. İnşa edilen yapıtlar kayıt defterine yayınlanmadan önce hiçbir insan denetiminden geçmedi.
Gelecek ne getirecek?
Bu dört olay, AI tedarik zinciri güvenliğinin henüz yeterince ele alınmadığını gösteriyor. Modellerin kırmızı takım testleri ve sistem kartları, yayınlama borularını, bağımlılık zincirlerini ve CI/CD süreçlerini genellikle göz ardı ediyor. Gelecekte, AI tedarik zinciri güvenliğine odaklanan kapsamlı kırmızı takım testleri, otomatik bağımlılık denetimleri ve yayınlama borularının insan denetiminden geçirilmesi kritik önem taşıyacak. AI şirketleri, yayınlama borularını ve bağımlılık zincirlerini model güvenliği kadar önemsemeli ve bu alanlardaki zafiyetleri acilen kapatmalıdır.
Yapay zeka özeti
Son 50 günde yaşanan dört AI tedarik zinciri saldırısı, yayınlama borularının nasıl savunmasız olduğunu gösteriyor. AI şirketleri neler yapmalı?
