Yeni bir siber saldırı sınıfı, Atlassian’ın model bağlam protokolünü (MCP) kullanan kuruluşları hedefliyor ve dış ve dahili kullanıcılar arasındaki sınırda kritik bir zayıflık ortaya koyuyor.
Araştırmacılar, Atlassian’ın JIRA Servis Yönetiminde (JSM) yapay zeka destekli iş akışlarından yararlanmak için kötü niyetli destek biletlerinin silahlandırılabileceğini göstererek, saldırganların iç sistemleri doğrudan ihlal etmeden ayrıcalıklı erişim kazanmasını ve bunların hepsini ihlal etmeden.
Saldırı nasıl çalışır
Geleneksel olarak, kuruluşlar, bunları yüksek izinlerle çözen dahili kullanıcılardan bilet veya talep gönderen harici kullanıcıları ayırırlar.
.png
)
Bununla birlikte, AI’yi kurumsal iş akışlarına yerleştirmek için tasarlanmış bir protokol olan Atlassian’ın MCP’si bu çizgiyi bulanıklaştırıyor. Dahili bir kullanıcı (destek mühendisi gibi) MCP aracılığıyla bilet özetleme gibi bir AI eylemi çağırdığında, eylem iç ayrıcalıklarıyla çalışır.
Bilet kötü amaçlı bir yük içeriyorsa, AI istikrarsız bir şekilde saldırgan için bir vekil olarak hareket eden zararlı talimatlar yürütür.
Saldırı zinciri aşağıdaki gibi ortaya çıkıyor:
- Bir tehdit oyuncusu JSM aracılığıyla özel hazırlanmış bir destek bileti sunar.
- Dahili bir kullanıcı, bileti işlemek için MCP bağlantılı bir AI eylemini (örn. Claude Sonnet kullanarak) tetikler.
- AI, dahili izinlerle hızlı enjeksiyon yükünü yürütür.
- Hassas veriler, genellikle saldırganın onu alabileceği destek biletine geri yazarak eklenir veya değiştirilir.
- Hızlı bir izolasyon veya giriş doğrulaması olmadan saldırgan, MCP veya arka uç sistemlerine doğrudan erişim olmadan dahili kullanıcının ayrıcalıklarından yararlanır.
Konsept Kanıtı: “Yapay zeka’da yaşamak” saldırısı
Yakın tarihli bir kavram kanıtı (POC) saldırısında, araştırmacılar harici bir aktörün bir MCP eylemini tetiklemek için nasıl kötü amaçlı bir bilet kullanabileceğini ve AI’nın iç kiracı verilerini sızmasına veya yetkisiz eylemler gerçekleştirmesine neden olduğunu gösterdi.
Özellikle, saldırgan asla doğrudan MCP ile etkileşime girmez – dahili destek mühendisi bilmeden kötü amaçlı talimatları yürütür.
“Yapay zeka içinde yaşamak” olarak adlandırılan bu teknik, AI’nın hızlı bir izolasyon veya bağlam kontrolü olmadan güvenilmeyen girdileri işlediği herhangi bir ortamdaki riski vurgulamaktadır.
Risk doğrudan destek biletlerinin ötesine uzanır. Başka bir senaryoda, bir ortağın hesabı tehlikeye atılırsa, bir saldırgan birden fazla Jira sorununa sessizce yorum veya kötü amaçlı bağlantılar ekleyen MCP istemleri içeren geliştirme talepleri gönderebilir.
Bu bağlantıları tıklayan dahili kullanıcılar, organizasyon içindeki kötü amaçlı yazılım indirmelerini, kimlik bilgisi hırsızlığı ve yanal hareketi tetikleyebilir – hepsi AI tarafından düzenlendi, C Saldırgan değil.
Uzmanlar bu sorunun Atlassian ile sınırlı olmadığını vurgular; AI araçlarının güvenilmeyen harici girişle etkileşime girdiği sistemik bir desendir. Bu tür riskleri azaltmak için kuruluşlar şunlara çağırılır:
- AI güdümlü eylemler üzerinde en az ayrıcalık zorlamak.
- Şüpheli istemi kullanımı gerçek zamanlı olarak tespit edin.
- MCP etkinliğinin denetim günlüklerini koruyun.
- Yapay zeka eylemleri için kum havuzu ve giriş doğrulaması uygulayın.
Yapay zeka iş akışlarına derinden gömülü hale geldikçe, dışa bakan sistemlerle kontrolsüz entegrasyon kritik güvenlik açıkları getirir.
“Yapay zeka kapalı” saldırısı, güçlü güvenlik kontrolleri, hızlı izolasyon ve AI destekli kurumsal araçların uyanık yönetişimine acil ihtiyacı göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin