Geçtiğimiz mart ayında Hong Kong Üniversitesi Veri Zekası Laboratuvarı araştırmacıları tarafından tanıtılan CLI-Anything, herhangi bir açık kaynaklı deponun kaynak kodunu analiz ederek yapay zeka kodlama ajanlarının kullanabileceği yapılandırılmış komut satırı arayüzleri (CLI) oluşturan devrim niteliğinde bir araç olarak öne çıktı. Claude Code, Codex, Cursor ve GitHub Copilot CLI gibi popüler ajanlarla uyumlu olan bu araç, sadece iki ay içinde 30 binden fazla GitHub yıldızına ulaştı.
Ancak CLI-Anything’in getirdiği yenilikler, aynı zamanda yeni bir saldırı vektörünün de kapısını aralıyor. Araştırmacılar ve güvenlik toplulukları, aracın mimarisini inceleyerek, bu sistemin nasıl saldırganlar tarafından kötüye kullanılabileceğine dair tartışmalar yürütüyor. Asıl tehlike, CLI-Anything’in kendisinde değil, onun temsil ettiği yapısal boşlukta yatıyor.
SKILL.md Dosyaları: Gizli Tehdit
CLI-Anything, projelerin kaynak kodunu tarayarak SKILL.md adı verilen özel komut dosyaları oluşturuyor. Bu dosyalar, yapay zeka ajanlarına projenin nasıl kullanılacağına dair talimatlar içeriyor. Ne var ki, benzer yapıdaki dosyaların ClawHub ve skills.sh platformlarında Şubat 2026’da yapılan araştırmalarda 76 adet kötü niyetli kod parçası tespit edildi. Bu dosyalar, yazılım faturalarında (SBOM) görünmüyor ve mevcut güvenlik tarayıcıları tarafından algılanamıyor, çünkü bu kategorideki saldırılar için henüz bir tespit mekanizması geliştirilmemiş durumda.
Cisco, Nisan ayında yaptığı açıklamada bu boşluğu doğruladı: "Geleneksel uygulama güvenlik araçları bu tür saldırıları algılayacak şekilde tasarlanmamıştı. Statik kod analizi araçları kaynak kodun sözdizimini incelerken, bileşen analizi araçları bağımlılık versiyonlarını kontrol ediyor. Hiçbiri, ajanların kullandığı Model Context Protocol (MCP) araç tanımlarını, ajan komutlarını veya beceri tanımlarını anlamak için geliştirilmedi."
Enkrypt AI’nın CSO’su ve eski Amazon Web Services (AWS) Güvenlik Müdürü Merritt Baer, VentureBeat’e yaptığı açıklamada şunları vurguladı: "SAST ve SCA araçları kod ve bağımlılıklar için geliştirildi. Talimatları incelemezler."
Üçüncü Katman: Ajan Entegrasyon Katmanı
Geleneksel tedarik zinciri güvenliği, iki ana katmanda çalışır:
- Kod katmanı: SAST araçları kaynak dosyaları tarayarak enjeksiyon saldırıları veya sertifikaların tespit eder.
- Bağımlılık katmanı: SCA araçları paket versiyonlarını kontrol ederek bilinen açıkları bulur.
Ancak CLI-Anything, MCP bağlantıları, Cursor kuralları veya Claude Code becerileri gibi araçlar, bu iki katmanın arasında yer alan üçüncü bir katmanda faaliyet gösteriyor. Burada, ajanlara ne yapabileceğini ve nasıl çalışacağını söyleyen yapılandırma dosyaları, beceri tanımları ve doğal dil talimatları yer alıyor. Bu dosyaların hiçbiri kod gibi görünmese de, tıpkı kod gibi çalışıyor ve mevcut güvenlik sistemleri tarafından algılanamıyor.
Reputation AI’nın AI Başkan Yardımcısı Carter Rees, bu durumu şöyle değerlendiriyor: "Modern büyük dil modelleri üçüncü parti eklentilere güveniyor. Bu da, saldırganların araçları manipüle ederek iç güvenlik kontrollerini atlatabileceği yeni bir tedarik zinciri zafiyeti yaratıyor."
DDIPE: Gizli Saldırının Yeni Yöntemi
Nisan ayında yayınlanan bir araştırmada, Griffith Üniversitesi, Nanyang Teknoloji Üniversitesi, Yeni Güney Galler Üniversitesi ve Tokyo Üniversitesi araştırmacıları, DDIPE (Document-Driven Implicit Payload Execution) adlı yeni bir saldırı tekniği geliştirdi. Bu yöntem, beceri dokümantasyonundaki kod örneklerinin içine gizlenmiş kötü niyetli mantığı kullanarak, ajanlara gizli komutlar iletiyor.
Dört ajan çerçevesi ve beş büyük dil modeli üzerinde yapılan testlerde, DDIPE’nin başarı oranı %11,6 ile %33,5 arasında değişti. Statik analiz çoğu örneği yakalarken, %2,5’lik bir kısım tüm tespit katmanlarını atlatmayı başardı. Sorumlu bildirim sonrasında dört adet onaylanmış güvenlik açığı ve iki tedarikçi yaması yayınlandı.
Güvenlik Liderlerinin İzlemesi Gereken Saldırı Zinciri
Bu yeni tehdit modelinin saldırı zinciri şu adımlardan oluşuyor:
- Saldırgan, açık kaynaklı bir projeye SKILL.md dosyası gönderiyor. Bu dosya, kurulum talimatları, kod örnekleri ve yapılandırma şablonları içeriyor. Kod inceleyicileri tarafından normal bir dokümantasyon olarak görülüyor.
- Geliştirici, CLI-Anything gibi bir araç kullanarak kodlama ajanını depoya bağlıyor. Ajan, beceri tanımlamasını güvenilir olarak kabul ediyor, çünkü mevcut doğrulama katmanları bu düzeydeki talimatları ayırt edemiyor.
- Ajan, gizlenmiş komutları kendi yetkileriyle çalıştırıyor. EDR sistemleri, yetkili bir API çağrısını normal trafik olarak algılıyor ve geçiyor.
- Sonuç: Veri sızdırma, yapılandırma değişiklikleri ve yetki yükseltme saldırıları, tüm güvenlik sistemleri tarafından onaylanmış gibi görünüyor.
Rees, bu zincirin temel zafiyetini şöyle özetliyor: "Kurumsal AI sistemlerinde ciddi bir erişim kontrolü sorunu var. Düz bir yetkilendirme düzlemi, ajanların kullanıcı izinlerini tanımadan çalışmasına izin veriyor. Bir saldırganın hazırladığı kötü niyetli beceri tanımları, zaten tüm yetkilere sahip olduğu için ekstra izinlere ihtiyaç duymuyor."
Gelecekteki Tehditler ve Alınması Gereken Önlemler
Mevcut güvenlik sistemleri, geleneksel tedarik zinciri saldırılarına odaklanmış durumda. Ancak ajan tabanlı sistemlerdeki yeni tehditler, bu yaklaşımların yetersiz kaldığını gösteriyor. Pillar Security, bu konuda yeni bir paradoks olduğunu vurguluyor: "Ajanlara güvenilen komutlar, aslında sistemin en zayıf halkası olabilir."
Güvenlik liderlerinin bu boşluğu doldurmak için hızlı hareket etmesi gerekiyor. Mevcut araçlar bu yeni saldırı vektörlerini tespit edemese de, ajanların kullandığı beceri tanımlarını ve talimat dosyalarını manuel olarak incelemek, ilk adım olabilir. Gelecekte, ajan güvenliği için özel olarak tasarlanmış tarayıcılar ve izleme sistemleri geliştirilmesi kaçınılmaz görünüyor.
Yapay zeka özeti
CLI-Anything aracı açık kaynaklı projeleri yapay zeka ajanlarına entegre ederken, aynı mekanizma saldırganlara nasıl arka kapı oluşturma fırsatı sunuyor? SKILL.md dosyalarındaki gizli tehditler ve alınması gereken önlemler.
