Program kullanılarak kötü niyetli bir şekilde hazırlanmış bir depo açıldığında kod yürütmeyi tetikleyebilecek yapay zeka (AI) destekli kod düzenleyicisi imlecinde bir güvenlik zayıflığı açıklanmıştır.
Sorun, teminat dışı bir güvenlik ayarının varsayılan olarak devre dışı bırakılması gerçeğinden kaynaklanıyor ve saldırganların ayrıcalıklarıyla kullanıcıların bilgisayarlarında keyfi kod çalıştırması için kapıyı açıyor.
Oasis Security, bir analizde, “İmleç, Workspace Trust ile varsayılan olarak devre dışı bırakıldı, bu nedenle runoptions.runon ile yapılandırılmış kod tarzı görevler. “Kötü niyetli bir .vscode/görevler.json, kullanıcının bağlamında sıradan bir ‘açık klasörü’ sessiz kod yürütmeye dönüştürür.”
İmleç, geliştiricilerin nereden geldiğine veya kim yazdığına bakılmaksızın kod koduna göz atmasına ve düzenlemesine izin vermek için Workspace Trust adlı bir özelliği destekleyen AI ile çalışan bir Visual Studio kodu çatalıdır.
Bu seçenek devre dışı bırakıldığında, bir saldırgan GitHub’da (veya herhangi bir platformda) bir proje sağlayabilir ve bir klasör açılır açılmaz bir görevi yürütmesini söyleyen gizli bir “Autorun” talimatı ekleyebilir ve kurban, kurbanda sıkışmış depoya göz atmaya çalıştığında kötü niyetli kodun yürütülmesine neden olur.
Oasis güvenlik araştırmacısı Erez Schwartz, “Bu, duyarlı kimlik bilgilerini sızdırma, dosyaları değiştirme veya daha geniş sistem uzlaşması için bir vektör olarak hizmet etme potansiyeline sahiptir, imleç kullanıcılarını tedarik zinciri saldırılarından önemli risk altına sokar.” Dedi.
Bu tehdide karşı koymak için, kullanıcılara işyerinde imleç güvenini sağlamaları, farklı bir kod düzenleyicisinde güvenilmeyen depoları açmaları ve bunları araçta açmadan önce denetlemeleri önerilir.
Geliştirme, hızlı enjeksiyonlar ve jailbreaks, Claude Code, Cline, K2, düşünce ve rüzgar sörfü gibi yapay zeka destekli kodlamayı ve akıl yürütme ajanlarını, tehdit aktörlerinin yazılım ortamlarından kaynaklanan veya sızıntı yaparak sistemleri kandırmaya yönlendirmek için sinsi yollar yerleştirmesine izin veren gizli ve sistemik bir tehdit olarak ortaya çıktıkça ortaya çıkıyor.
Yazılım tedarik zinciri güvenliği kıyafeti CheckMarx, geçen hafta bir raporda, Antropic’in Claude kodunda yeni tanıtılan otomatik güvenlik incelemelerinin, istekli enjeksiyonlar yoluyla savunmasız kodları göz ardı etmesi de dahil olmak üzere projeleri güvenlik risklerine nasıl maruz bırakabileceğini ve geliştiricilerin kötü niyetli veya güvensiz kodları geçmişten geçmesine neden olabileceğini ortaya koydu.
Şirket, “Bu durumda, özenle yazılmış bir yorum, Claude’u açıkça tehlikeli kodun bile tamamen güvenli olduğuna ikna edebilir.” Dedi. “Sonuç: Bir geliştirici – ister kötü niyetli ister sadece Claude’u kapatmaya çalışıyor – Claude’u bir güvenlik açığının güvenli olduğunu düşünmeye kolayca kandırabilir.”
Başka bir sorun, AI denetim sürecinin, Claude kodu düzgün bir şekilde kum havuzuna sahip olmaması durumunda üretim veritabanlarına karşı kötü amaçlı kodun çalıştırıldığı bir senaryoya yol açabilecek test durumları oluşturması ve yürütmesidir.
Yakın zamanda Claude’da yeni bir dosya oluşturma ve düzenleme özelliği başlatan AI şirketi, özelliğin “sınırlı internet erişimine sahip kum havuzu bilgisayar ortamında” çalışması nedeniyle hızlı enjeksiyon riskleri taşıdığı konusunda uyardı.
Özellikle, kötü bir aktörün, chatbot’u güvensiz kodu indirmeye ve çalıştırmaya veya model bağlam protokolü (MCP) aracılığıyla bağlanan bir bilgi kaynağından duyarlı verileri indirmeye ve okumaya yönlendiren harici dosyalar veya web siteleri – yani dolaylı hızlı enjeksiyon – talimatlar eklemesi mümkündür.
Anthropic, “Bu, Claude’nin bağlamından (örneğin istemler, projeler, MCP aracılığıyla veriler, Google Entegrasyonları) kötü niyetli üçüncü taraflara bilgi göndermek için kandırılabileceği anlamına geliyor.” Dedi. “Bu riskleri azaltmak için, özelliği kullanırken Claude’u izlemenizi ve beklenmedik bir şekilde verileri kullandığını veya eriştiğini görüyorsanız durdurmanızı öneririz.”
Hepsi bu değil. Geçen ayın sonlarında, şirket ayrıca Chrome için Claude gibi AI modellerini kullanan AI modellerinin hızlı enjeksiyon saldırılarıyla karşılaşabileceğini ve tehdidi ele almak ve saldırı başarı oranını% 23.6 ila% 11,2 azaltmak için birkaç savunma uyguladığını açıkladı.
“Hızlı enjeksiyon saldırılarının yeni biçimleri de sürekli olarak kötü niyetli aktörler tarafından geliştiriliyor.” “Güvensiz davranış ve kontrollü testlerde bulunmayan yeni saldırı modellerinin gerçek dünyası örneklerini ortaya çıkararak, modellerimize saldırıları tanımayı ve ilgili davranışları hesaba katmayı öğreteceğiz ve güvenlik sınıflandırıcılarının modelin kaçırdığı her şeyi almasını sağlayacağız.”
Aynı zamanda, bu araçlar da geleneksel güvenlik açıklarına karşı hassas bulundu ve saldırı yüzeyini potansiyel gerçek dünya etkisi ile genişletti –
- Bir saldırganın, bir kurbanın kimlik doğrulanmamış yerel WebSocket sunucusuna bağlanmasına izin verebilecek, sadece uzaktan komut yürütme işlemi altında bir web sitesini ziyaret etmelerini sağlayarak, bir saldırganın kimlik doğrulanmamış yerel WebSocket sunucusuna bağlanmasına izin verebilecek bir WebSact Kodu IDE uzantılarında (CVE-2025-52882, CVSS Puan: 8.8) bir websocket kimlik doğrulama baypası
- Postgres MCP sunucusunda bir saldırganın salt okunur kısıtlamasını atlamasına ve keyfi SQL ifadeleri yürütmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı
- Microsoft NLWEB’de, özel olarak hazırlanmış bir URL kullanarak sistem yapılandırmaları (“/etc/passwd”) ve bulut kimlik bilgileri (.env dosyaları) dahil olmak üzere hassas dosyaları okumasına izin verebilecek bir yol geçiş güvenlik açığı
- Uzaktan kimlik doğrulanmamış saldırganların üretilen sitelerin keyfi veritabanı tablolarına okumasına veya yazmasına izin verebilen sevimli (CVE-2025-48757, CVSS Puan: 9.3) yanlış bir yetkilendirme kırılganlığı
- Base44’te, saldırganların kurbanın uygulamalarına ve geliştirme çalışma alanına erişmesine, hasat API tuşlarına erişmesine, kullanıcı tarafından oluşturulan uygulamalara kötü niyetli mantık enjekte edebilecek ve verileri söndürebilecek hassas veri sızıntısı güvenlik açıkları ve hassas veri sızıntısı güvenlik açıkları açın ve
- Ollama masaüstünde, bir saldırganın, kötü niyetli bir web sitesini ziyaret etmenin, uygulamanın ayarlarını ve hatta zehirli modelleri kullanarak uygulamanın ayarlarını yeniden yapılandırabileceği ve hatta zehirli modeller kullanarak yanıtları değiştirebilecek eksik çapraz orijin kontrollerinin bir sonucu olarak ortaya çıkan bir güvenlik açığı
Imperva, “Yapay zeka odaklı gelişme hızlandıkça, en acil tehditler genellikle egzotik AI saldırıları değil, klasik güvenlik kontrollerindeki başarısızlıklardır.” Dedi. “Artan ‘vibe kodlama’ platformlarının ekosistemini korumak için güvenlik, sonradan düşünülen bir temel olarak ele alınmalıdır.”