Ajansal Yapay Zeka, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
AI Aracısı Belgeleri Sızdırmak için Dosya Yükleme API’sine Erişebilir
Rashmi Ramesh (raşmiramesh_) •
19 Ocak 2026
Güvenlik araştırmacıları, Anthropic’in yeni Claude Cowork üretkenlik aracısının, kullanıcı dosyalarını çalmak ve bunları bir saldırganın hesabına yüklemek için nasıl kandırılabileceğini, şirketin iddia ettiği ancak üç ay boyunca yama yapılmadan bırakıldığı iddia edilen bir güvenlik açığından yararlanabileceğini gösterdi.
Ayrıca bakınız: Kavram Kanıtı: Bot mu, Alıcı mı? Perakendede Kimlik Krizi
Bu güvenlik açığı, saldırganların, kurbandan herhangi bir ek onay gerektirmeden, kullanıcı dosyalarını saldırganın Antropik hesabına yükleme yoluyla anında ekleme yoluyla Cowork’ü manipüle etmesine olanak tanıyor. Güvenlik firması PromptArmor, saldırının yapay zeka ajanına karşı nasıl çalıştığını gösteren bir kavram kanıtı yayınladı.
Saldırı zinciri, bir kullanıcı Cowork’ü hassas bilgiler içeren yerel bir klasöre bağladığında başlar. Kullanıcı, gizli bilgi istemi ekleme içeren bir belge yükler. Cowork dosyaları analiz ettiğinde enjekte edilen istem otomatik olarak tetiklenir. PromptArmor bunu, kötü amaçlı belgenin, kullanıcıların yapay zekanın yeteneklerini genişletmek için yükleyebileceği bir tür talimat dosyası olan Claude Skill olarak ortaya çıktığı bir senaryo kullanarak gösterdi.
Enjeksiyon, Claude’a kurbanınki yerine saldırganın API anahtarını kullanarak Anthropic’in dosya yükleme API’sine bir curl komutu yürütmesi talimatını verir. Claude tarafından yürütülen kod, giden ağ isteklerini neredeyse tüm alan adlarıyla sınırlayan bir sanal makinede çalışır, ancak Antropik API, güvenilir olarak beyaz listeye alınır ve saldırının başarılı olmasına olanak tanır.
Güvenlik açığı Claude Haiku’yu ve şirketin amiral gemisi modeli Claude Opus 4.5’i etkiliyor. PromptArmor, simüle edilmiş bir kullanıcının yeni bir AI aracı geliştirirken kötü amaçlı bir entegrasyon kılavuzu yüklediğinde Opus 4.5’ten veri sızıntısı olduğunu gösterdi. Firma, hızlı enjeksiyonun model zekası boşluklarından ziyade mimari güvenlik açıklarından yararlandığını, bunun da akıl yürütmenin hiçbir savunma sağlamadığı anlamına geldiğini söyledi.
Güvenlik araştırmacısı Johann Rehberger, Files API sızma güvenlik açığını ilk olarak Ekim 2025’te HackerOne aracılığıyla Anthropic’e açıkladı. Anthropic’in hata raporunu bir saat sonra kapattığını, konuyu kapsam dışı olarak değerlendirdiğini ve bunu bir güvenlik açığı yerine örnek bir güvenlik sorunu olarak sınıflandırdığını söyledi.
Rehberger, Anthropic’in o ay kendisiyle tekrar temasa geçerek veri sızıntısı açıklarının raporlama kapsamında olduğunu söyledi. Ancak şirketin bir düzeltme uygulamadığını söyledi. Cowork, ilk açıklamadan yaklaşık üç ay sonra, 13 Ocak’ta kullanıma sunulduğunda API hâlâ savunmasız durumdaydı.
Riskleri azaltmak için Anthropic, Cowork kullanıcılarına aracı hassas belgelere bağlamaktan kaçınmalarını, Chrome uzantısını güvenilir sitelerle sınırlandırmalarını ve hızlı eklemeyi gösterebilecek şüpheli eylemleri izlemelerini tavsiye etti. Cowork’ü inceleyen geliştirici Simon Willison, şirketin yaklaşımını sorguladı. Willison, “Programcı olmayan düzenli kullanıcılara ‘ani enjeksiyona işaret edebilecek şüpheli eylemlere’ dikkat etmelerini söylemenin adil olduğunu düşünmüyorum” dedi.
Anthropic, Cowork’ün ajan doğası ve internet erişimi nedeniyle benzersiz riskler içeren bir araştırma önizlemesi olarak yayınlandığını söyledi. Güvenlik açığı bulunan API ile etkileşimini iyileştirmek için Cowork sanal makinesine bir güncelleme göndermeyi planlıyor ve bunu diğer güvenlik iyileştirmeleri de takip edecek.
PromptArmor araştırmacıları ayrıca bir dosyanın iddia ettiği türle eşleşmemesi durumunda Claude’un API’sinin sorun yaşadığını da keşfetti. Aslında bir metin dosyası olan hatalı biçimlendirilmiş bir PDF üzerinde çalışırken Claude, konuşmadaki sonraki her sohbette API hataları oluşturur. Araştırmacılar, bu hatanın sınırlı bir hizmet reddi saldırısına neden olmak için dolaylı anında enjeksiyon yoluyla potansiyel olarak istismar edilebileceğini söyledi.
Güvenlik açığının daha geniş etkileri dosya sızdırmanın ötesine uzanıyor. Cowork, metin gönderme veya bir Mac’i AppleScript’lerle kontrol etme gibi yetenekler sağlayan tarayıcılar ve model bağlam protokolü sunucuları da dahil olmak üzere, kullanıcının tüm çalışma ortamıyla etkileşimde bulunmak üzere tasarlandı. Bu işlevler, modelin, kullanıcıların enjeksiyon için manuel olarak incelemediği hassas ve güvenilmeyen veri kaynaklarını işleme olasılığını artırarak PromptArmor’un sürekli büyüyen bir saldırı yüzeyi olarak tanımladığı şeyi oluşturur.