İmleç AI Kodu Düzenleyicisi Sabit Kusur, Saldırganların hızlı enjeksiyon yoluyla komutları çalıştırmasına izin verir


Siber güvenlik araştırmacıları, uzaktan kod yürütmesine neden olabilecek popüler bir yapay zeka (AI) kod düzenleyicisi olan imleçte şimdi paketlenmiş, yüksek şiddetli bir güvenlik kusurunu açıkladı.

Güvenlik açığı, CVE-2025-54135 (CVSS puanı: 8.6), 29 Temmuz 2025’te yayınlanan 1.3 sürümünde ele alınmıştır. Daha önce EchoLeak’i açıklayan AIM Labs tarafından Curxecute kodludur.

AIM Labs ekibi, Hacker News ile paylaşılan bir raporda, “İmleç, geliştirici düzeyinde ayrıcalıklarla çalışır ve güvenilmeyen harici verileri getiren bir MCP sunucusu ile eşleştirildiğinde, bu veriler acentenin kontrol akışını yeniden yönlendirebilir ve bu ayrıcalıkları kullanabilir.” Dedi.

“Bir saldırgan, MCP aracılığıyla zehirli verileri aracıya besleyerek, kullanıcı ayrıcalıkları altında tam uzaktan uzak kod yürütme kazanabilir ve fidye yazılımı, veri hırsızlığı, AI manipülasyonu ve halüsinasyonlar vb.

Başka bir deyişle, “~/.cursor/mcp.json” dosyasını sessizce yeniden yazan ve saldırgan kontrollü komutları çalıştıran tek bir harici olarak barındırılmış hızlı bir giriş tarafından tetiklenen uzaktan kod yürütme.

Güvenlik açığı, AI modelleri tarafından kullanılmak üzere Model Kontrol Protokolü (MCP) sunucuları tarafından maruz kalan araçların ve veritabanlarını sorgulama veya API’lerin çağrılması gibi harici sistemlerle etkileşimi kolaylaştırdığı için, ajanın beklenen davranışını zehirleyebilecek güvensiz verileri getirebilmesi için güvenlik açığı EchoLeak’e benzer.

Özellikle, AIM Security, imleçte özel MCP sunucularını yapılandırmak için kullanılan MCP.json dosyasının, herhangi bir onay gerektirmeden herhangi bir yeni girişin (örn. Slack MCP sunucusu ekleme) yürütülmesini tetikleyebileceğini buldu.

Siber güvenlik

Bu otomatik işletme modu özellikle tehlikelidir, çünkü saldırgan tarafından gevşek bir mesaj aracılığıyla enjekte edilen kötü amaçlı bir yükün otomatik olarak yürütülmesine yol açabilir. Saldırı dizisi aşağıdaki gibi ilerliyor –

  • Kullanıcı Slack MCP sunucusunu imleç kullanıcı arayüzü aracılığıyla ekler
  • Saldırgan, komut enjeksiyon yükü ile genel bir gevşek kanalda mesaj gönderiyor
  • Mağdur yeni bir sohbet açar ve İmleç’in temsilcisinden yeni yapılandırılmış Slack MCP sunucusunu mesajlarını bir istemi özetlemek için kullanmasını ister: “Mesajlarımı özetlemek için Slack Araçları kullanın”
  • Temsilci, bağlamına kötü niyetli komutlar enjekte etmek için tasarlanmış özel hazırlanmış bir mesajla karşılaşır

AIM Security, “Kusurun temel nedeni, Global MCP JSON dosyasına yeni girişlerin otomatik olarak başladığıdır.” Dedi. Diyerek şöyle devam etti: “Düzenleme reddedilse bile, kod yürütme zaten olmuştu.”

Tüm saldırı sadeliği için dikkat çekicidir. Ancak, AI destekli araçların harici içeriği, bu durumda, herhangi bir üçüncü taraf MCP sunucusunu işlerken nasıl yeni saldırı yüzeyleri açabileceğini de vurgular.

Şirket, “Yapay zeka ajanları dış, iç ve etkileşimli dünyaları köprülemeye devam ettikçe, güvenlik modelleri harici bağlamın ajan çalışma zamanını etkileyebileceğini ve her atlamayı izleyebileceğini varsaymalıdır.”

İmleç sürüm 1.3 ayrıca, güvenli olmayan komutları yürütmek için alıntılar içindeki (örneğin, “E” Cho Bypass) baz64-kodlama, kabuk komut dosyaları ve kabuk komutları gibi yöntemler kullanarak platformun denilist tabanlı korumalarını kolayca atabilen başka bir sorunu ele alıyor.

Backsash araştırma ekibinin sorumlu açıklamasının ardından, imleci, bir izin listesi lehine otomatik çalıştırma için Denylist özelliğini tamamen kullanımdan kaldırma adımını attı.

Araştırmacılar Mustafa Naamneh ve Micah Gold, “Vibe kodlama platformları tarafından sağlanan yerleşik güvenlik çözümlerinin kapsamlı veya kusursuz olmasını beklemeyin.” Dedi. “Ajan sistemlerinin uygun korkuluklarla donatılmış olmasını sağlamak için son kullanıcı kuruluşlarında.”

Açıklama, Hiddenlayer’ın imlecin etkisiz Denylist yaklaşımının gizli kötü niyetli talimatları bir GitHub Readme.md dosyasıyla gömerek silahlandırılabileceğini ve bir saldırganın API anahtarlarını, SSH kimlik bilgilerini çalmasına izin vererek ve hatta engellenen sistem komutlarını çalıştırmasına izin verdiği için ortaya çıktı.

Araştırmacılar Kasimir Schulz ve Tom Bonner, “Mağdur Github’daki projeyi izlediğinde, hızlı enjeksiyon görünmüyordu ve imlecten projeyi klonlamasını ve IDE tabanlı bir aracı sistem için yaygın bir olay olan projeyi kurmalarına yardımcı olmalarını istediler.”

Kimlik Güvenliği Risk Değerlendirmesi

“Ancak, projeyi klonladıktan ve projeyi kurmak için talimatları görmek için ReadMe’yi inceledikten sonra, hızlı enjeksiyon AI modelini devraldı ve anahtarları curl ile püskürmeden önce kullanıcının çalışma alanında herhangi bir anahtar bulmak için GREP aracını kullanmaya zorladı.”

Hiddenlayer, bir proxed modele açık bir API istekleri için sağlanan temel URL’yi geçersiz kılarak, bir kullanıcının özel SSH anahtarlarını, bir araç kombinasyonu olarak adlandırılan iki iyi huylu araçtan yararlanarak, bir kullanıcının özel SSH anahtarlarını geçersiz kılarak istismar edilebilecek ek zayıflıklar bulduğunu söyledi.

Bu esas olarak, kurban kullanıcısı kod düzenleyicisinden dosyayı özetlemesini istediğinde, komutun yürütülmesine neden olan bir GitHub ReadMe.md dosyasına hızlı bir enjeksiyon komutu eklemeyi içerir.

https://www.youtube.com/watch?v=jyrceponqks

Gizli talimat, kullanıcıya ait özel SSH anahtarlarını okumak için Read_File aracını kullanır ve daha sonra saldırgan kontrollü bir webhook.site URL’si için anahtarları yaymak için Create_Diagram aracını kullanır. Belirlenen tüm eksiklikler, 1.3 sürümünde imleci tarafından düzeltilmiştir.

İmleçteki çeşitli güvenlik açıklarının haberleri, Tracebit’in, kodlama görevleri için açık kaynaklı bir komut satırı aracı olan Google’ın Gemini CLI’sini hedefleyen bir saldırı tasarladığı ve aracın varsayılan olarak yapılandırılmasını sağlayan bir açık kaynaklı komut satırı aracı.

İmleç durumunda gözlemlendiği gibi, saldırı kurbanın (1) Gemini CLI’ye Gemini.MD bağlam dosyasında haksız dolaylı istemi enjeksiyonu içeren saldırgan yaratılmış bir GitHub kod tabanı ile etkileşime girmesini ve (2) bir izin verilmesine (örneğin, grep) bir Benign komutu eklemesini gerektirir.

Tracebit kurucusu ve CTO Sam Cox, “Bu öğeleri hedefleyen hızlı enjeksiyon, Gemini CLI içindeki önemli doğrulama ve görüntüleme sorunları ile birlikte tespit edilemez keyfi kod uygulamasına neden olabilir.” Dedi.

Saldırının yarattığı riski azaltmak için Gemini CLI kullanıcılarına kurulumlarını 25 Temmuz 2025’te gönderilen 0.1.14 sürümüne yükseltmeleri tavsiye edilir.



Source link