Yapay zeka çağında, kodlama araçlarımızın güvenliği sorgulanıyor. GitHub tokenlarından kurumsal e-posta sistemlerine kadar birçok hassas veriye erişim sağlayan AI kod asistanları, son dokuz ay içinde altı farklı araştırma ekibi tarafından hedef alındı. Bu saldırıların ortak noktasıysa hep aynıydı: kimlik bilgilerini çalmak ve üretim sistemlerine erişmek.
Kritik Sıfır Tıklama Saldırıları: Bir Güvenlik Açısından Diğerine
Black Hat USA 2025 konferansında Zenity CTO'su Michael Bargury, sıfır tıklama saldırılarıyla ChatGPT, Microsoft Copilot Studio, Google Gemini, Salesforce Einstein ve Cursor gibi popüler araçların kimlik bilgilerini ele geçirdi. Bu saldırılar, sadece arayüzlerin değil, altında yatan sistemlerin de onaylanmadan kullanıldığını gösterdi. Enkrypt AI'nın CSO'su Merritt Baer, "İşletmeler AI tedarikçilerini onayladıklarını düşünüyor ancak aslında onayladıkları sadece bir arayüz" diyor. Bu arayüzün altında yatan kimlik bilgileriyse saldırıların asıl hedefi haline geliyor.
OpenAI Codex: Bir Branch Adıyla Gizlenen Tehlike
BeyondTrust araştırmacıları Tyler Jespersen, Fletcher Davis ve Simon Stewart, OpenAI Codex'deki bir açıklığı ortaya çıkardı. Kötü niyetli bir GitHub branch adı, OAuth token'ını sızdırabiliyordu. Kod klonlanırken branch adı parametresi, kurulum script'ine doğrudan aktarılıyordu. Bir semicolon ve backtick alt kabuğu sayesinde, saldırganlar token'ları sızdırabildi. OpenAI bu açıklığı Kritik P1 olarak sınıflandırdı ve Şubat 2026'ya kadar tamamen düzeltti. Saldırganlar ayrıca branch adına 94 ideografik boşluk karakteri ekleyerek, kötü niyetli branch'i normal görünen "main" branch'inden ayırt edilemez hale getirdi.
Anthropic Claude Code: Sandbox'ı Aşan İki CVE ve 50 Komut Kuralı
Claude Code'deki iki kritik açıklık, hem izinleri hem de komut denetimini hedef aldı:
- CVE-2026-25723: Komut zincirleme doğrulaması eksikti. Piped
sedveechokomutları, proje sandbox'ından kaçabiliyordu. Bu hata versiyon 2.0.55'te düzeltildi. - CVE-2026-33068:
.claude/settings.jsondosyasındaki izin modları, güvenlik uyarısı gösterilmeden değiştirilebiliyordu. Saldırganlarpermissions.defaultModeayarınıbypassPermissionsolarak ayarlayarak izinleri geçersiz kıldı. Bu hata versiyon 2.1.53'te düzeltildi.
Ancak en tehlikelisi, 50 komut kuralıydı. Adversa tarafından keşfedilen bu açıklıkta, komut 50'den fazla alt komut içerdiğinde, deny kuralları otomatik olarak devre dışı bırakılıyordu. Anthropic bu kararı performans için almıştı ancak güvenlik riski doğurdu. Hata versiyon 2.1.90'da düzeltildi.
Reputation AI ve Utah AI Komisyonu üyesi Carter Rees, bu durumu "kurumsal AI'daki en büyük güvenlik sorunlarından biri olan düz yetki kontrolü" olarak tanımlıyor. Depo izinleri, AI aracının sahip olduğu yetkileri belirliyor ve token bütçesi de hangi deny kurallarının işleyeceğini belirliyordu.
GitHub Copilot: PR Açıklaması ve GitHub Issue'uyla Root Erişimi
Johann Rehberger ve Persistent Security'den Markus Vervier, GitHub Copilot'da CVE-2025-53773'ü keşfetti. Bir pull request açıklamasına gizlenen komutlar, Copilot'un .vscode/settings.json dosyasındaki auto-approve modunu etkinleştirerek, tüm onayları devre dışı bıraktı. Bu sayede saldırganlar, Windows, macOS ve Linux sistemlerinde sınırsız kabuk erişimi elde etti. Microsoft, bu açıklığı Ağustos 2025 Patch Tuesday güncellemesiyle düzeltti.
Orca Security ise Copilot'un GitHub Codespaces versiyonundaki başka bir açıklığı ortaya çıkardı. Bir GitHub issue içine gizlenen komutlar, Copilot'u saldırganın kontrolündeki bir PR'ı kontrol etmeye zorladı. Bu PR, sembolik bağlantı yoluyla /workspaces/.codespaces/shared/user-secrets-envs.json dosyasına erişim sağladı. Hazırlanan bir JSON $schema URL'si sayesinde, saldırganlar GITHUB_TOKEN kimlik bilgilerini sızdırabildi.
Ivanti CTO'su Mike Riemer, tehdit aktörlerinin yamaları sadece 72 saat içinde tersine mühendislik edebildiğini vurguluyor. "Bir müşteri, yama yayınlandıktan 72 saat içinde güncelleme yapmazsa, saldırıya açık hale geliyor. AI ajanlarıysa bu süreyi saniyelere indiriyor."
Google Vertex AI: Varsayılan Kapsamlarla Gmail ve Drive'a Erişim
Unit 42 araştırmacısı Ofir Shaty, Google Vertex AI'deki varsayılan hizmet kimliğinin aşırı yetkileri olduğunu ortaya çıkardı. Her Vertex AI ajanıyla ilişkili olan varsayılan P4SA kimlik bilgileri, projedeki tüm Cloud Storage bucket'larına okuma erişimi sağlıyor ve hatta Google'ın kendi Artifact Registry depolarına kadar ulaşabiliyordu. Shaty, bu durumun "çifte ajan" gibi çalıştığını ve hem kullanıcı verilerine hem de Google'ın altyapısına erişim sağladığını belirtti.
Geleceğe Bakış: AI Güvenliğine Yönelik Adımlar
Bu saldırılar, AI destekli araçların güvenliğini artırmak için acil eylem gerektiğini gösteriyor. İşletmeler, AI tedarikçilerini sadece arayüz düzeyinde değil, altyapı düzeyinde de değerlendirmeli. Sıfır gün saldırılarına karşı hızlı yanıt vermeyenler risk altında kalıyor. AI ajanlarının saniyeler içinde karar verdiği bir dünyada, güvenlik ekiplerinin de aynı hızda hareket etmesi gerekiyor.
Yapay zeka özeti
GitHub tokenlarından Gmail'e kadar tüm hassas verilerinizi hedef alan AI kod asistanı güvenlik açıkları hakkında bilmeniz gerekenler. Hangi hizmetler risk altında ve nasıl korunabilirsiniz?
