Ajansal Yapay Zeka, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Saldırganlar, Kurcalanmış Yapılandırma Dosyaları Yoluyla Geliştirici Makinelerini Ele Geçirebilir
Rashmi Ramesh (raşmiramesh_) •
3 Aralık 2025
OpenAI, Codex CLI aracında, saldırganların kötü amaçlı yapılandırma dosyalarını kod depolarının içine gizleyerek geliştirici makinelerde rastgele komutlar çalıştırmasına olanak tanıyan bir komut ekleme kusurunu kapattı.
Ayrıca bakınız: Kavram Kanıtı: Yapay Zeka Ajanları Çağı İçin Kimliği Yeniden Düşünmek
Siber güvenlik firması Check Point Pazartesi günü yaptığı açıklamada, kusuru 7 Ağustos’ta OpenAI’ye açıkladığını ve şirketin 20 Ağustos’ta Codex CLI 0.23.0 sürümünde bir düzeltme yayınladığını söyledi. Güvenlik açığı, terminal tabanlı kodlama asistanının proje yapılandırmalarını nasıl ele aldığını kullanarak rutin geliştirici iş akışlarını potansiyel saldırı vektörlerine dönüştürdü.
Codex CLI, OpenAI’nin yapay zeka mantığını yazılım geliştirmeye getiren komut satırı aracıdır. Geliştiriciler bunu, doğal dil komutlarını kullanarak kodu doğrudan terminalden okumak, düzenlemek ve yürütmek için kullanır. Araç, yeteneklerini, harici hizmetlerin ve özel iş akışlarının entegrasyonuna izin veren bir standart olan model bağlam protokolü aracılığıyla genişletir.
Güvenlik açığı, geliştiriciler Codex komutunu bir depoda çalıştırdığında Codex CLI’nin proje yerel yapılandırma dosyalarından MCP sunucusu girişlerini otomatik olarak nasıl yüklediği ve yürüttüğüne odaklanıyordu. Bir depo, MCP sunucusu komutlarını listeleyen bir yapılandırma dosyasıyla birlikte aracın yapılandırma dizinini yerel bir klasöre yönlendiren bir dosya içeriyorsa, Codex başlangıçta bu komutları kullanıcı onayı veya doğrulaması olmadan hemen çağırır.
Yapay zeka güvenlik ve yönetişim şirketi Noma Security’nin CISO’su Diana Kelley, Check Point’in CVE-2025-61260 olarak takip edilen güvenlik açığı araştırmasının, araçların pasif yardımcılardan çok otonom aracılar gibi davrandığı yapay zeka destekli geliştirme ortamlarındaki daha geniş bir eğilimi yansıttığını söyledi.
Information Security Media Group’a “Sorun Codex’in proje düzeyindeki yapılandırmaya otomatik olarak güven vermesinden kaynaklanıyor” dedi. “Bu dosyalara müdahale edilirse, projeyi indiren ve Codex’i kullanan herhangi bir geliştirici, bu yapılandırmaya yerleştirilmiş saldırgan tanımlı komutları bilmeden tetikleyecektir.”
Araç, proje yerel MCP yapılandırmasını, etkileşimli onay olmadan, komutların veya bağımsız değişkenlerin ikincil olarak doğrulanması veya değerler değiştiğinde yeniden kontrol edilmeden güvenilir yürütme malzemesi olarak değerlendirdi. Bu tasarım sıradan depo dosyalarını yürütme vektörlerine dönüştürdü. Belirli yapılandırma dosyalarını gönderebilen veya birleştirebilen bir saldırgan, depoyu klonlayan ve Codex’i çalıştıran herhangi bir geliştirici üzerinde rastgele komutları tetikleyebilir.
Herhangi bir istem, onay adımı ve bu eylemlerin değişip değişmediğini yeniden kontrol edecek bir mekanizma olmadan, “rutin bir geliştirici eylemi, kurumsal bir iş istasyonunda saldırgan tarafından kontrol edilen komutları sessizce yürütebilir” dedi.
Kelley, sonuçların tek bir kusurun ötesine uzandığını söyledi. “Artık yapılandırma dosyalarının yürütme vektörleri haline gelebildiği ve yapay zeka odaklı geliştirici araçlarının işletim sisteminin örtülü bir uzantısı gibi davrandığı bir gerçeklikte yaşıyoruz” dedi.
Check Point Research, saldırıyı dosya oluşturma yükleri ve ters kabuk yükleri ile gösterdi; bunların her ikisi de kullanıcı istemi olmadan yürütülüyordu. Bir gösteride araştırmacılar, kurbanın makinesinde hesap makinesi uygulamasının açılmasını sağlayarak güvenlik açığının daha ciddi saldırılar için nasıl silah haline getirilebileceğini gösterdi.
Güven, yapılandırma dosyasının içeriğinden ziyade konumuna bağlı olduğundan kusur kalıcı arka kapılar yarattı. Başlangıçta zararsız olan bir yapılandırma, onaylandıktan veya birleştirildikten sonra kötü amaçlı bir yapılandırmayla değiştirilebilir ve normal geliştirici iş akışları sırasında tetiklenen gizli bir tedarik zinciri arka kapısı oluşturulabilir.
Saldırı minimum düzeyde karmaşıklık gerektiriyordu. Depo yazma erişimine veya çekme isteği gönderme yeteneğine sahip bir saldırgan, komutları yapılandırma dosyalarına gömebilir. Geliştiriciler projeyi klonladığında veya güncellediğinde ve Codex’i çalıştırdığında, kötü amaçlı komutlar kullanıcının güvenlik bağlamında anında yürütülüyordu. Bu, saldırganlara genellikle geliştirici makinelerde depolanan bulut kimlik bilgilerine, SSH anahtarlarına ve kaynak koduna erişim sağladı.
Bugcrowd’un baş strateji ve güven sorumlusu Trey Ford, Codex CLI’nin benzer güvenlik modelleri gösteren, giderek büyüyen bir araç sınıfının parçası olduğunu söyledi. ISMG’ye “Eylül ayında Oasis Security tarafından Cursor’da tanımlanan aynı modeli gördük” dedi.
Yapay zeka yetenekleri geliştirme ortamlarına daha derin bir şekilde gömülü hale geldikçe, satıcılar eski ama artan bir gerilimle karşı karşıya kalıyor: Sağlamlaştırılmış, kurumsal düzeyde varsayılanları korurken sistemleri benimseme için sorunsuz hale getirmek.
Ford, “Değer elde etme süresini kısaltmanın büyüsü benimsenmeyi teşvik ediyor” dedi. “Ancak şirketler ölçeklendikçe ve giderek daha ilgi çekici kullanıcılar topladıkça, bu ödünleşimler bozuluyor ve güvenliğin güçlendirilmesi doğal olarak bir öncelik haline geliyor.” Hem satıcıların hem de benimseyenlerin bu araçların güvenlik durumunu incelemesi gerektiğini ekledi. “Bu geliştirme araçlarının kurumsal güvenlik yeteneklerinin ayrıntılı bir şekilde incelenmesi gerekirken, güvenlik ekiplerinin bu saldırı modellerini özellikle izlemesi gerekiyor.”
Güvenlik açığı, tedarik zinciri sonuçlarını bireysel tavizlerin ötesine taşıyordu. Kirlenmiş başlangıç depoları, proje şablonları veya popüler açık kaynaklı projeler, tek bir işlemle alt tüketicileri silah haline getirebilir. Sürekli entegrasyon sistemleri veya yapı aracıları Codex’i teslim alınan kod üzerinde çalıştırırsa, güvenlik ihlali iş istasyonlarından yapı yapılarına ve üretim dağıtımlarına yayılabilir.