Ana SayfaYapay ZekaYapay Zekâ Kodlama Asistanlarına Yeni Tehdit: "Agentjacking" Saldırısı Yüzde 85 Başarıyla Çalışıyor

Yapay Zekâ Kodlama Asistanlarına Yeni Tehdit: “Agentjacking” Saldırısı Yüzde 85 Başarıyla Çalışıyor

Yayımlandı:

- Bu Alana Reklam Vermek İçin: bilgi@dijitaliyidir.comspot_img

Yazılım geliştiricileri için yeni bir güvenlik tehdidi kapıda. Güvenlik araştırmacıları, “Agentjacking” adını verdikleri yeni bir saldırı yöntemi tespit etti.

Detaylar haberimizde

Saldırı, Claude Code ve Cursor gibi yapay zekâ kodlama asistanlarını kandırarak geliştiricilerin bilgisayarlarında kötü amaçlı kod çalıştırmalarını sağlıyor. Araştırmacılara göre test edilen asistanlarda saldırının başarı oranı yüzde 85’e ulaşıyor.

Saldırı nasıl işliyor?

Yöntem, yazılımcıların hataları takip etmek için kullandığı Sentry adlı popüler hata izleme servisini istismar ediyor. Saldırganlar, sisteme sahte hata raporları yerleştiriyor. Bu raporların içine, yapay zekâ asistanına “meşru bir çözüm önerisi” gibi görünen gizli talimatlar gömülüyor. Asistan, hatayı çözmeye çalışırken bu talimatları takip ediyor ve farkında olmadan saldırganın kodunu çalıştırıyor.

Sonuç ağır olabiliyor: Ortam değişkenleri, Git kimlik bilgileri ve diğer hassas veriler saldırganların eline geçebiliyor. Üstelik saldırı, geleneksel güvenlik önlemlerine takılmadan ilerliyor; çünkü kodu çalıştıran, sistemin güvendiği yapay zekâ asistanının kendisi.

Sorunun kökü: Aşırı güven

Araştırmanın işaret ettiği temel zafiyet, yapay zekâ asistanlarının dış servislerden gelen verilere körü körüne güvenmesi. Asistanlar, Model Context Protocol (MCP) adı verilen bağlantılar üzerinden hata izleme, dokümantasyon gibi dış kaynaklara erişiyor ve buradan gelen içeriği çoğu zaman sorgulamadan işliyor. Uzmanların önerisi net: Dış kaynaklardan gelen verileri “talimat” değil “veri” olarak ele alan güvenlik katmanları şart.

Geliştiriciler için pratik önlemler ise şöyle sıralanıyor: Asistanların otomatik kod çalıştırma yetkilerini kısıtlamak, hassas kimlik bilgilerini ortam değişkenlerinde tutmak yerine güvenli kasalara taşımak ve asistanın önerdiği komutları çalıştırmadan önce gözden geçirmek.

Yapay zekâ kodlama asistanı nedir?
Yazılımcıların kod yazmasına yardımcı olan yapay zekâ araçları. Claude Code, Cursor ve GitHub Copilot gibi bu araçlar; kod önerir, hataları bulur, hatta kendi başına dosya düzenleyip komut çalıştırabilir. İşte bu “kendi başına iş yapabilme” özelliği onları hem çok kullanışlı hem de saldırganlar için cazip bir hedef yapıyor.

Sentry nedir?
Dünyada milyonlarca yazılım projesinin kullandığı bir hata izleme servisi. Bir uygulamada hata oluştuğunda Sentry bunu kaydeder ve geliştiriciye ayrıntılı rapor sunar. Saldırganların tam da bu güvenilir raporlama kanalını istismar etmesi, tehdidi bu kadar sinsi kılan unsur.

Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol

Son Eklenenler

Apple, Yapay Zekâlı Siri’yi Avrupa’da Erteledi: Gerekçe AB Kuralları

Apple, yapay zekâ destekli Siri özelliklerinin Avrupa çıkışını DMA'yı gerekçe göstererek erteledi. AB "kurallara uy" derken Apple "güvenliğim zayıflar" diyor. Kaybeden şimdilik Avrupalı kullanıcı.

Uzayda İlk Kurtarma Operasyonu Başlıyor: NASA’nın Swift Teleskobu Yanmaktan Kurtarılacak

NASA'nın Swift teleskobunu atmosferde yanmaktan kurtaracak robotik LINK aracı bu hafta fırlatılıyor. 30 milyon dolarlık operasyon, efsanevi Pegasus roketinin de son uçuşu olacak.

Yapay Zekânın Elektrik Faturası: 5 Milyar Dolarlık Enerji Ortaklığı 25 Milyara Çıktı

Bloom Energy ve Brookfield, veri merkezi enerji ortaklığını 5 milyar dolardan 25 milyar dolara çıkardı. Google'ın elektrik kullanımı ise yüzde 37 arttı. Yapay zekâ yarışı artık bir enerji yarışı.

Alışverişte Sohbet Dönemi: Yapay Zekâ Asistanları 3,5 Kat Fazla Satıyor

AWS'nin yeni hizmetiyle markalar kendi yapay zekâ alışveriş asistanlarını kurabiliyor; ilk müşteri Kate Spade oldu. Çarpıcı veri: Sohbetle alışveriş, klasik aramaya göre 3,5 kat fazla satışa dönüşüyor.

Buna benzer diğer içerikler

Apple, Yapay Zekâlı Siri’yi Avrupa’da Erteledi: Gerekçe AB Kuralları

Apple, yapay zekâ destekli Siri özelliklerinin Avrupa çıkışını DMA'yı gerekçe göstererek erteledi. AB "kurallara uy" derken Apple "güvenliğim zayıflar" diyor. Kaybeden şimdilik Avrupalı kullanıcı.

Uzayda İlk Kurtarma Operasyonu Başlıyor: NASA’nın Swift Teleskobu Yanmaktan Kurtarılacak

NASA'nın Swift teleskobunu atmosferde yanmaktan kurtaracak robotik LINK aracı bu hafta fırlatılıyor. 30 milyon dolarlık operasyon, efsanevi Pegasus roketinin de son uçuşu olacak.

Yapay Zekânın Elektrik Faturası: 5 Milyar Dolarlık Enerji Ortaklığı 25 Milyara Çıktı

Bloom Energy ve Brookfield, veri merkezi enerji ortaklığını 5 milyar dolardan 25 milyar dolara çıkardı. Google'ın elektrik kullanımı ise yüzde 37 arttı. Yapay zekâ yarışı artık bir enerji yarışı.