Altı aylık bir inceleme, yapay zeka destekli geliştirme araçlarında veri sızdırmaya ve bazı durumlarda uzaktan kod çalıştırmaya imkan tanıyan otuzdan fazla güvenlik açığı ortaya çıkardı. Görsel Studio Code, JetBrains ürünleri, Zed gibi Entegre Geliştirme Ortamları'na (IDE) gömülü yapay zeka ajanlarının hassas bilgileri sızdırmak veya saldırgan kontrolündeki kodu çalıştırmak üzere manipüle edilebileceği bu bulgular, “IDEsaster” araştırma raporunda detaylandırılıyor.
Araştırmaya göre, test edilen yapay zeka IDE'lerinin ve kodlama asistanlarının tamamı (%100) bu güvenlik açıklarına sahipti. Etkilenen ürünler arasında GitHub Copilot, Cursor, Windsurf, Kiro.dev, Zed.dev, Roo Code, Junie, Cline, Gemini CLI ve Claude Code gibi popüler araçlar bulunuyor. Bu açıklardan en az yirmidördü için CVE (Ortak Zafiyet Tanımlayıcıları) numaraları atanmış ve ek olarak AWS'den de tavsiyeler gelmiş.
Temel sorun, yapay zeka ajanlarının uzun süredir var olan IDE özellikleriyle nasıl etkileşim kurduğundan kaynaklanıyor. Bu düzenleyiciler, dosyaları okuyabilen, düzenleyebilen ve üretebilen otonom bileşenler için tasarlanmamıştı. Yapay zeka asistanları bu yetenekleri kazandığında, daha önce zararsız olan özellikler saldırı yüzeylerine dönüştü.
Güvenlik araştırmacısı Ari Marzouk, bu durumu şu sözlerle özetliyor: “Tüm yapay zeka IDE'leri, temel yazılımları tehdit modellerinde etkili bir şekilde göz ardı ediyor. Yıllardır var oldukları için özelliklerini doğası gereği güvenli kabul ediyorlar. Ancak, otonom hareket edebilen yapay zeka ajanları eklendiğinde, aynı özellikler veri sızdırma ve uzaktan kod çalıştırma (RCE) için silah haline getirilebilir.”
Araştırma raporuna göre, bu saldırı zinciri IDE'den bağımsız olarak ilerliyor ve ilk adımı prompt injection yoluyla bağlamın ele geçirilmesi oluşturuyor. Kötü niyetli sunuculardan gelen girdilerle kural dosyalarına, README dosyalarına, dosya adlarına veya çıktılara gizlenmiş talimatlar yerleştirilebiliyor. Yapay zeka ajanı bu bağlamı işlediğinde, temel IDE'deki güvensiz davranışları tetikleyen meşru eylemler gerçekleştirebiliyor. Son aşamada ise, bu temel yazılım katmanını paylaşan herhangi bir yapay zeka IDE'si üzerinde saldırganın kodunu çalıştırmak veya veri çıkarmak için yerleşik özellikler suiistimal ediliyor.
Belgelenmiş bir örnekte, uzaktan bir şema referansı içeren bir JSON dosyası yazılıyor. IDE, otomatik olarak bu şemayı çekerek, yapay zeka ajanı tarafından yerleştirilen ve zincirin önceki adımlarında toplanan hassas veriler de dahil olmak üzere parametreleri sızdırıyor. Görsel Studio Code, JetBrains IDE'leri ve Zed bu davranışı sergiliyor. Geliştirici korumaları olan diff önizlemeleri bile giden isteği engellemiyor.
Başka bir vaka incelemesi, manipüle edilmiş IDE ayarları aracılığıyla tam uzaktan kod çalıştırmayı gösteriyor. Çalışma alanında zaten bulunan bir yürütülebilir dosyayı düzenleyip ardından `php.validate.executablePath` gibi yapılandırma alanlarını değiştirerek, saldırgan, ilgili dosya türü açıldığında veya oluşturulduğunda IDE'nin anında rastgele kod çalıştırmasını sağlayabiliyor. JetBrains araçları da çalışma alanı meta verileri aracılığıyla benzer bir açıklık gösteriyor.
Rapor, mevcut IDE'lerin araştırmacının adlandırdığı “Yapay Zeka İçin Güvenli” prensibiyle inşa edilmemesi nedeniyle bu tür güvenlik açıklarının kısa vadede tamamen ortadan kaldırılamayacağını belirtiyor. Hem geliştiriciler hem de araç sağlayıcıları için önlemler mevcut olsa da, uzun vadeli çözüm, IDE'lerin yapay zeka ajanlarının projeler içinde nasıl okuma, yazma ve hareket etmelerine izin verdiğini temelden yeniden tasarlamayı gerektiriyor.
