Haberler 
Coin Bilgisi 
Hakkımızda 
Kripto para borsası Coinbase(COIN) geliştirici ekibinin sıkça kullandığı yapay zekâ tabanlı kodlama aracı üzerinde, tüm organizasyona sessizce yayılan bir kötü amaçlı yazılım eklenebileceği konusunda ciddi bir güvenlik uyarısı yapıldı. 5’inde (yerel saatle), güvenlik şirketi HiddenLayer, "CopyPasta License Attack" adlı yeni bir saldırı yönteminin, geliştirici belgelerine gizlenmiş komutlar yoluyla AI tabanlı kodlama araçlarını yönlendirebildiğini açıkladı.
HiddenLayer’a göre söz konusu saldırı, LICENSE.txt ve README.md gibi yaygın metin dosyalarına ‘markdown’ yorum satırı biçiminde zararlı komutlar ekliyor. Kullanıcıların fark etmeden bu dosyaları açması durumunda, yapay zekâ destekli kodlama aracı bu komutları otomatik olarak çalıştırıyor ve böylece geliştirilen yazılıma kasıtlı güvenlik açıkları dahil ediliyor. Dosyaların görünümünde bu yorumlar görünmediği için gözle tespit edilmeleri oldukça zor.
HiddenLayer ayrıca, bu zayıflığın test edildiği deneyde Coinbase geliştiricileri arasında yaygın biçimde kullanılan Cursor adlı AI kodlama aracını kullandıklarını söyledi. Şubat ayı itibarıyla Coinbase ekibinin tamamının Cursor’dan faydalandığı belirtilmişti. Şirket, kötü amaçlı yükün basit bir lisans dosyası gibi algılanması sağlanarak, yapay zekânın düzenlediği tüm dosyalara otomatik şekilde bulaştırılabildiğini ve böylece tüm kod tabanına hızla yayıldığını vurguladı.
Bu güvenlik açığı sadece Cursor ile sınırlı değil. Windsurf, Kiro ve Aider gibi diğer AI destekli kodlama araçlarının da aynı zayıflığa karşı savunmasız olduğu belirtildi. Bu araçların da kullanıcıdan herhangi bir onay almadan gelen dış komutları çalıştırdığı ve otomatik olarak koda dahil ettiği ifade edildi.
Uzmanlar, yapay zekânın yazılım geliştirme süreçlerine giderek daha fazla entegre edilmesinin, kötü niyetli "prompt injection" saldırılarını daha da yaygın hale getirebileceği konusunda uyarıyor. Yapay zekâ araçlarının sadece iş gücü verimliliği değil, aynı zamanda geliştirme ortamını tümüyle tehdit edebilecek yeni bir saldırı yüzeyi sunduğu belirtiliyor.
HiddenLayer, bu tür yapay zekâ merkezli çalışmalarda ortaya çıkan görünmeyen güvenlik risklerine karşı yeni deneyler ve bilgilendirme raporları yayımlamaya devam edeceğini duyurdu. Bu saldırı tekniklerinin hâlen aktif tehdit olarak görüldüğü ve AI kodlama aracı kullanıcılarının bu konuda dikkatli olması gerektiği ifade edildi.
Yorum 0