Geliştiricilerin projelerini başlatmak veya yapılandırmak için yaygın olarak kullandığı yapay zeka tabanlı kodlama asistanları, aslında zararlı yazılımların sistemlere sızmasına aracılık edebilir. Mozilla'nın 0din ekibinin yaptığı araştırmalar, bu tür araçların, özellikle de Claude gibi modellerin, basit görünen ancak ustaca hazırlanmış yöntemlerle kandırılabileceğini ortaya koyuyor.
Saldırganlar, masum görünen bir GitHub deposundan proje başlatılmasını istediğinde, yapay zeka asistanını zararlı kodu çalıştırmaya ikna edebiliyor. Bu durum, geliştiricinin kendi hesabının tehlikeye girmesine, tüm gizli bilgilerinin, API anahtarlarının, kodlarının, belgelerinin, tarayıcı oturumlarının ve parolalarının ele geçirilmesine yol açabilir. Hatta saldırganlar, kalıcı erişim sağlamak için ek zararlı yazılımlar da yükleyebilir.
Bu saldırı yöntemi, özellikle programlama görevleri için varsayılan olarak tercih edilen Claude gibi birçok yapay zeka asistanı için bir risk oluşturuyor. Saldırının işleyişi oldukça dikkat çekici: Kötü niyetli bir kullanıcı, görünüşte temiz ve güvenli dosyalardan oluşan bir GitHub deposu oluşturuyor. Bu depoda, güvenlik araçlarını tetiklemeyecek şekilde hazırlanmış birkaç temel dosya bulunuyor.
Kullanıcı, yapay zeka asistanından bu depoyu kullanarak bir proje başlatmasını istediğinde, asistan depoyu klonluyor. İlk işlenen dosya genellikle bir README dosyası oluyor ve Python ortamının nasıl kurulacağına dair talimatlar içeriyor. Bu noktada her şey meşru görünüyor. Ancak, asıl aldatmaca, ilk çalıştırmada basit bir hata verecek şekilde tasarlanmış sahte bir başlangıç betiğinde gizli. Yapay zeka, bu hatayı gidermek ve yardımseverliğini göstermek amacıyla, zararsız görünen ek bir komut çalıştırıyor: 'python3 -m axiom init'.
Bu komut, bir kabuk betiğini tetikliyor. Bu betik, standart bir işlem gibi görünen bir şekilde ek yazılım indiriyor. Ancak buradaki ikinci numara, zararlı bir URL'den indirme yapmak yerine, belirli bir alanın DNS metin kayıtlarını (TXT record) okumasıdır. Örneğin, '_axiom-config.m100.cloud' gibi bir alanın TXT kayıtları kullanılıyor. Bu yöntem, e-posta yapılandırmaları gibi yaygın kullanım alanlarıyla benzerlik gösterdiği için şüphe uyandırmıyor.
Bu TXT kaydının içinde, base64 ile kodlanmış bir dize bulunuyor. Bu dize, kullanıcı makinesinde bir ters kabuk (reverse shell) açıyor. Yani, kullanıcının makinesinde bir kabuk açılıyor ancak komutlar saldırganın sunucusuna yönlendiriliyor. Bu noktada saldırganlar, kullanıcının erişebildiği her şeye ulaşabiliyor ve kullanıcı adına yazılım çalıştırabiliyor. Yapay zeka asistanı ve kurban ise yalnızca 'Ortam hazır' gibi bir mesaj görüyor.
Bu saldırı yöntemi, ardı ardına gelen üç dolaylı adımdan oluşuyor ve bu adımların hiçbiri tek başına şüpheli görünmüyor. Güvenlik tarama araçlarının büyük çoğunluğu bu depoyu veya işlemleri fark etmeyecektir. Kurumsal ağlarda sıkı güvenlik önlemleri alınmışsa bu tür bir saldırı engellenebilir ancak çoğu geliştiricinin çalıştığı ortamlar bu kadar katı güvenlik duvarlarına sahip değil. Ayrıca, bu örnek, daha karmaşık ve dolaylı yöntemlere de uygulanabilecek bir konseptin sadece bir gösterimi.
Araştırmacılar, geliştiricilerin bilinmeyen projeleri ve yapay zeka araçlarının önerilerini körü körüne güvenmemeleri gerektiğini vurguluyor. Yapay zeka asistanlarının kendilerinin de yalnızca adımları takip etmek yerine, neyin ve nasıl çalıştırılacağını anlaması gerektiği belirtiliyor.
