Haberler 
Coin Bilgisi 
Hakkımızda 
AI ile Yazılmış Kodlar Kripto Paranızı Uçurabilir: Geliştiricilere Güvenlik Alarmı
Yapay zekâ destekli kodlama araçlarında tespit edilen kritik bir güvenlik açığı, kripto para geliştiricilerini ciddi şekilde endişelendiriyor. Sadece bir proje klasörünü açmak bile kötü amaçlı yazılımların sisteminizi istila etmesine yol açabiliyor. Bu nedenle sektördeki tüm geliştiricilere dikkatli olmaları yönünde güçlü bir uyarı geldi.
8’inde, blokzincir güvenlik şirketi SlowMist, popüler entegre geliştirme ortamları (IDE) ve yapay zekâ destekli kodlama yardımcılarında ciddi güvenlik açıkları keşfettiklerini bildirdi. Şirkete göre, özellikle kripto para ve blokzincir geliştiricileri, kötü niyetli bir proje klasörünü açtıklarında hiçbir kullanıcı etkileşimi gerekmeden sistemin otomatik olarak saldırıya uğrayabileceği bir riskle karşı karşıya.
Bu güvenlik açığı, AI araçlarının işlediği standart geliştirici dosyalarında saklanan ‘prompt injection’ (komut zerk etme) adlı bir teknikle bağlantılı. Örneğin, README.md veya LICENSE.txt gibi belgelerdeki bazı görünmez yorum bloklarına kötü niyetli talimatlar eklenebiliyor. Geliştirici bu komutları fark etmese de, AI yardımcıları bu yorumları gerçek komut olarak algılıyor ve tüm kod tabanına zararlı kodları yaymaya başlıyor.
SlowMist, ilgili saldırıların hem Windows hem de macOS ortamlarında çalışabildiğini belirtti. Ayrıca, hızla yayılan AI tabanlı kodlama aracı Cursor’un bu tür tehditlere karşı özellikle savunmasız olduğuna dikkat çekti. Güvenlik açığının kökeni, siber güvenlik firması HiddenLayer tarafından 2025 Eylül’ünde ‘CopyPasta License Attack’ başlıklı bir çalışmada ortaya çıkarılmıştı.
HiddenLayer, Cursor’un yanı sıra Windsurf, Kiro ve Aider gibi araçlar üzerinde de uygulamalı saldırı testleri gerçekleştirdiklerini ve kullanıcı müdahalesi olmadan tüm şirket kodlarının tehlikeye atılabileceğini örnekleriyle gösterdi. Açığın yalnızca teknik bir aksaklık olmayıp yazılım tedarik zincirini genel olarak tehdit eden bir zafiyet olduğuna dikkat çekiliyor.
Büyük Şirketler Hızla AI Kullanımını Yaygınlaştırıyor: Coinbase’in Tutumu Tartışma Yaratıyor
AI destekli kodlama araçlarının yaygınlaşması, özellikle büyük şirketler için bu güvenlik açıklarını daha da ciddi hale getiriyor. Coinbase(COIN) CEO’su Brian Armstrong, Ekim ayına kadar şirket içindeki kodların en az %50’sinin yapay zekâ ile yazılmasını hedeflediklerini açıklamıştı. Armstrong, çalışanlarının 1 hafta içinde AI araçlarını benimsememeleri durumunda işten çıkarılabileceklerini duyurarak büyük bir tartışmaya yol açtı.
Bu politikaya uzmanlardan da ciddi eleştiriler geldi. Carnegie Mellon Üniversitesi’nden Profesör Jonathan Aldrich, bu yaklaşımı “akıldışı” olarak tanımlarken, “Paramı asla böyle bir şirkete emanet etmem” dedi. Dango Kurucusu Larry Liu da bu hızın ‘güvenliğe önem veren’ bir kuruluşun göstermemesi gereken tehlikeli bir sinyal olduğunu vurguladı.
Kuzey Kore’nin AI Güvenlik Açıklarıyla Bütünleşen Akıllı Sözleşme Saldırıları
SlowMist’in raporu, kripto para dünyasının devlet destekli saldırılarla ne derece iç içe olduğunu da gösteriyor. Google'ın Şubat 2024’e yönelik açıklamalarına göre, Kuzey Kore bağlantılı UNC5342 adlı bir hacker grubu, Ethereum(ETH) ve BNB Smart Chain üzerinde kötü amaçlı akıllı sözleşmeler kullanarak komuta-kontrol altyapısı kurdu.
Bu grup, JavaScript tabanlı BeaverTail ve OtterCookie adlı zararlı kodları, yazılım geliştiricilerine gönderilen sahte iş görüşmeleri ve NPM paketleri üzerinden dağıttı. Bu yöntem, yalnızca salt okunur işlev çağrısıyla komutları iletebildiği için zincirde iz bırakmıyor. Siber güvenlik dünyasında bu yöntem ‘EtherHiding’ olarak adlandırılıyor.
Ayrıca, grup sahte Amerikan şirketleri kurarak gerçek ofis adresleriyle kaydoldu ve geliştiricileri hedefleyen sosyal mühendislik atağı olan ‘Contagious Interview’ kampanyasını da sürdürdü. Kripto geliştiricilerinin hem özel anahtarlar hem de akıllı sözleşme koduna erişimi olduğu için saldırganlar açısından yüksek değerli hedefler arasında yer aldıkları belirtildi.
AI’nin İkili Yüzü: Sıfırıncı Gün Açıkları Tespit Ediyor, Saldırıları Da Otomatize Ediyor
Yapay zekâ yalnızca savunmada değil, saldırı tarafında da önemli bir risk faktörü haline geldi. AI girişimi Anthropic’in araştırmasına göre; şirketin test ortamında yapay zekâ sistemleri, dağıtıma sunulmamış akıllı sözleşmeleri %50 oranında başarıyla hack’leyebildi. Bu simülasyonlarda potansiyel kayıp toplamda 550,1 milyon dolar (yaklaşık 7.999 milyar TL) olarak hesaplandı.
GPT-5 ve Claude Opus 4.5, dağıtımdaki gerçek sözleşmelerde arka arkaya ikişer sıfırıncı gün (zero-day) açığı keşfetti. Sadece yaklaşık 3.476 dolarlık (yaklaşık 505 bin TL) API kullanımı ile yapılan bu analiz, potansiyel olarak 3.694 dolarlık (yaklaşık 536 bin TL) fund kaybına neden olabilecek güvenlik eksikliklerini ortaya çıkardı.
Anthropic, zamanla yapay zekâ destekli saldırıların maliyet etkinliğinin arttığını vurguluyor. Aynı işlem gücüyle daha fazla saldırı üretilebileceği için ‘otomatik seri hack’ riski her geçen gün büyüyor. Üstelik Chainabuse’un raporuna göre, AI kullanılarak yapılan kripto para dolandırıcılığı da son 1 yılda %456 oranında arttı. Dolandırıcıların oluşturduğu sahte kimlik, ses ve sohbetlerin %60’ı yapay zekâ tarafından oluşturuluyor; bu da AI‘nin sahtekârlıkta da oldukça etkili olduğunu ortaya koyuyor.
Yorum: Yapay zekâ kodlama araçları, üretkenlik vaat ederken aynı zamanda yeni güvenlik tehditlerinin de önünü açıyor. Kripto geliştiricilerin artık yalnızca kod kalitesi değil; kaynak dosyaların görünmeyen satırları da dahil olmak üzere güvenlik denetlemesi yapması gerekiyor. Özellikle lisans, bilgi dosyaları ve dış kaynak kodlarının taranması büyük önem taşıyor. AI kullanımında denge kurulmazsa, zincirleme güvenlik sorunlarıyla karşı karşıya kalınabilir.
Yorum 0