GitLab’a entegre ve Antropic’in Claude modellerine dayanan AI destekli kodlama asistanı Gitlab ikilisinde bir güvenlik açığı keşfedildi.
Yasal güvenlikten güvenlik araştırmacıları, saldırganların özel kaynak kodunu eklemek, AI tarafından üretilen kod önerilerini manipüle etmek ve hatta gizli sıfır gün güvenlik açıklarını sızdırmak için dolaylı bir hızlı enjeksiyon kusurunu kullanabileceğini ortaya koydu.
Hızlı enjeksiyon saldırganların AI tarafından işlenen verilere kötü niyetli talimatlar yerleştirdiği büyük dil modellerini (LLMS) etkileyen bir güvenlik açıkları sınıfıdır.
.png
)
GitLab ikilisi durumunda, kırılganlık dolaylı Tür: Saldırganlar doğrudan hazırlanmış bir istem girmek yerine, birleştirme isteği (MR) açıklamaları, mesajlar, yorumlar ve hatta kaynak kodunun kendisi içindeki talimatları gizleyebilir.
GitLab Duo, tüm bu unsurlar da dahil olmak üzere bir projenin tüm bağlamını analiz ettiğinden, gizli istemleri yanlışlıkla işleyecek ve saldırganın talimatlarını yürütecektir.
Bu istemleri daha da gizlemek için saldırganlar, Base16 kodlama, unicode kaçakçılığı ve Katex oluşturma gibi teknikleri beyaz metinlerde kullandılar, bu da kötü amaçlı yükleri insan gözden geçirenler için neredeyse görünmez hale getirdi, ancak yine de AI tarafından tespit edilebilir.
Markdown Oluşturmadan Veri Defiltrasyonuna kadar
Rapora göre, istismar zinciri Gitlab Duo’nun gerçek zamanlı işaretleme oluşturma işleminden yararlandı. Duo yanıtlarını aktardıkça, işaretleme giderek HTML’ye dönüştürülür ve tarayıcıda görüntülenir.
Bu akış yaklaşımı, yetersiz giriş dezenfekârlığı ile birleştiğinde, saldırganların ham HTML’yi enjekte etmesine izin verdi, örneğin
Etiketler – Duo’nun yanıtları.
Tipik bir saldırı senaryosu aşağıdaki gibi ortaya çıktı:
- Bir saldırgan, bir halka açık projenin MR açıklamasına veya yorumuna gizli bir istem yerleştirir.
- Özel depolara erişimi olan bir kurban ikili ile etkileşime girerek bir kod incelemesi veya analiz istemektedir.
- İkili, gizli istemin işlenmesi, özel bir projeden hassas kod veya verileri çıkarmaya, örneğin Base64’te) kandırılır ve bir parametre olarak gömülür.
Etiketin URL’si. - AI’nın yanıtı, kötü niyetli
Etiket, kurbanın tarayıcısı tarafından oluşturulur, bu da daha sonra saldırganın sunucusuna bir HTTP GET isteği göndererek kodlanmış hassas verileri sızdırmaz.
İşte böyle bir yükün basitleştirilmiş bir örneği:
xml
GitLab, HTML’yi sterilize etmek için Dompurify kütüphanesini kullansa da, bazı etiketler gibi bazı etiketler
– , and
varsayılan olarak çıkarılmadı, bu veri eksfiltrasyon vektörünün güvenlik açığı yamalanana kadar devam etmesine izin verdi.
Etki, yanıt ve devam eden riskler
Bu kırılganlığın etkileri şiddetliydi. Saldırganlar:
- Özel kaynak kodu ve gizli sorun verilerini (sıfır gün güvenlik açıkları dahil) çalın.
- Potansiyel olarak kötü amaçlı paketler veya bağlantılar ekleyerek Duo’nun kod önerilerini manipüle edin.
- Kötü amaçlı URL’leri güvenli, kullanıcıları kimlik bilgisi hırsızlığı için kimlik avı sitelerine yönlendirerek sunar.
Gitlab, 12 Şubat 2025’teki sorumlu açıklamadan hemen sonra yanıt verdi ve Duo’nun harici alanlara işaret eden güvenli olmayan HTML etiketlerini oluşturmasını engelleyen bir yama (Duo-UI! 52) yayınladı.
Bu, HTML tabanlı veri eksfiltrasyon vektörünü etkili bir şekilde kapattı.
Bununla birlikte, bazı araştırmacılar, hızlı enjeksiyon risklerinin, kullanıcı tarafından kontrol edilen tüm içeriği güvenilir girdi olarak tedavi etmek-tam olarak ele alınmadığı için, enjeksiyon risklerinin kaldığını savunmaktadır.
Gitlab ikilisi olayı, AI-yudumlanan tüm içeriği potansiyel olarak kötü niyetli olarak ele alma ihtiyacının altını çiziyor.
AI asistanları geliştirici iş akışlarına daha derin bir şekilde gömüldükçe, gelecekte benzer saldırıları önlemek için sağlam giriş doğrulaması ve bağlam izolasyonu gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!