Siber güvenlik araştırmacıları, Wondershare Repairit’te özel kullanıcı verilerini maruz bırakan ve sistemi yapay zeka (AI) model kurcalama ve tedarik zinciri risklerine maruz bırakan iki güvenlik kusurunu açıkladılar.
Trend Micro tarafından keşfedilen söz konusu kritik dereceli güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-10643 (CVSS Puanı: 9.1) – Bir depolama hesabı jetonuna verilen izinler içinde var olan bir kimlik doğrulama baypas güvenlik açığı
- CVE-2025-10644 (CVSS Puanı: 9.4) – Bir SAS jetonuna verilen izinler içinde var olan bir kimlik doğrulama baypas güvenlik açığı
İki kusurun başarılı bir şekilde kullanılması, bir saldırganın sistemde kimlik doğrulama korumasını atlatmasına ve bir tedarik zinciri saldırısı başlatmasına izin verebilir ve sonuçta müşterilerin uç noktalarında keyfi kodun yürütülmesine neden olabilir.
Trend Micro araştırmacıları Alfredo Oliveira ve David Fiser, yapay zeka destekli veri onarımı ve fotoğraf düzenleme uygulamasının “zayıf gelişme, güvenlik ve operasyonlar (devsecops) uygulamaları, özel kullanıcı verilerini yanlışlıkla sızdırarak” gizlilik politikasını çeliştiğini “söyledi.
Kötü geliştirme uygulamaları, hassas bulut depolama alanına okuma ve yazma erişimi sağlayan uygulamanın koduna aşırı izin veren bulut erişim belirteçlerini gömmeyi içerir. Ayrıca, verilerin şifreleme olmadan saklandığı ve kullanıcıların yüklenen görüntü ve videolarının daha geniş bir kötüye kullanımına kapıyı açtığı söyleniyor.
Daha da kötüsü, maruz kalan bulut depolama sadece kullanıcı verileri değil, aynı zamanda AI modelleri, Wondershare tarafından geliştirilen çeşitli ürünler için yazılım ikili dosyaları, konteyner görüntüleri, komut dosyaları ve şirket kaynak kodu içerir, bir saldırganın AI modellerine veya yürütülebilir dosyalara kurcalamasını sağlayarak, aşağı akış müşterilerini hedefleyen tedarik zinciri saldırıları için yol açar.
Araştırmacılar, “İkili, AI modellerini güvenli olmayan bulut depolamasından otomatik olarak alıp yürüttüğü için, saldırganlar bu modelleri veya konfigürasyonlarını değiştirebilir ve kullanıcıları bilmeden enfekte edebilir.” Dedi. “Böyle bir saldırı, satıcı tarafından imzalanan yazılım güncellemeleri veya AI model indirmeleri aracılığıyla meşru kullanıcılara kötü niyetli yükler dağıtabilir.”
Müşteri verilerinin maruziyeti ve AI model manipülasyonunun ötesinde, sorunlar, fikri mülkiyet hırsızlığı ve düzenleyici cezalardan tüketici güveninin erozyonuna kadar değişen ciddi sonuçlar doğurabilir.
Siber güvenlik şirketi, Nisan 2025’te Sıfır Günü Girişimi (ZDI) aracılığıyla iki konuyu sorumlu bir şekilde açıkladığını, ancak tekrarlanan girişimlere rağmen satıcıdan henüz bir yanıt almadığını söyledi. Bir düzeltmenin yokluğunda, kullanıcıların “ürünle etkileşimi kısıtlaması” önerilir.
Micro, “Sürekli yeniliklere duyulan ihtiyaç, bir kuruluşun rekabet gücünü pazarlamak ve sürdürmek için yeni özellikler elde etmek için acele ettiğini, ancak bu özelliklerin kullanılabileceğini veya işlevselliklerinin gelecekte nasıl değişebileceğini öngörmeyebilir.” Dedi.
Diyerek şöyle devam etti: “Bu, güvenlik sonuçlarının ne kadar önemli olabileceğini açıklıyor. Bu nedenle, CD/CI boru hattı da dahil olmak üzere, kuruluşunda güçlü bir güvenlik süreci uygulamak çok önemlidir.”
Yapay zeka ve güvenlik ihtiyacı el ele gitmek
Geliştirme, daha önce kimlik doğrulaması yapmadan model bağlam protokolü (MCP) sunucularının açığa çıkmasına karşı daha önce uyarılmış olarak gelir veya tehdit aktörlerinin bulut kaynaklarına, veritabanlarına veya kötü amaçlı kodlara erişim elde edebileceği düz metinler gibi MCP yapılandırmaları gibi hassas kimlik bilgilerini saklar.
Her MCP sunucusu, veri kaynağının açık bir kapı görevi görür: veritabanları, bulut hizmetleri, dahili API’ler veya proje yönetim sistemleri, “dedi araştırmacılar.” Kimlik doğrulama olmadan ticari sırlar ve müşteri kayıtları gibi hassas veriler herkes için erişilebilir hale geliyor. “
Aralık 2024’te şirket ayrıca, açıkta kalan konteyner kayıtlarının yetkisiz erişim elde etmek ve içindeki AI modelini çıkarmak için hedef docker görüntülerini çekmek için kötüye kullanılabileceğini, modelin tahminlerini etkilemek için parametrelerini değiştirebileceğini ve kurcalanmış görüntüyü açık kayıt defterine geri itebileceğini buldu.
Trend Micro, “Kurcalanmış model normal koşullar altında normal davranabilir, sadece belirli girdiler tarafından tetiklendiğinde kötü niyetli değişikliklerini gösterebilir.” Dedi. “Bu, temel test ve güvenlik kontrollerini atlayabildiği için saldırıyı özellikle tehlikeli hale getiriyor.”
MCP sunucuları tarafından ortaya çıkan tedarik zinciri riski, güvenilmeyen kaynaklardan yüklenen MCP sunucularının, AI destekli bir verimlilik aracı kisvesi altında keşif ve veri söndürme faaliyetlerini nasıl gizleyebileceğini vurgulamak için bir kavram kanıtı (POC) sömürüsü tasarlayan Kaspersky tarafından da vurgulanmıştır.
Güvenlik araştırmacısı Mohamed Ghobashy, “Bir MCP sunucusu yüklemek temel olarak kullanıcının ayrıcalıklarıyla bir kullanıcı makinesinde kod çalıştırma izni veriyor.” Dedi. “Sandboxed olmadıkça, üçüncü taraf kodu, kullanıcının erişebileceği dosyaları okuyabilir ve tıpkı diğer programlar gibi giden ağ çağrıları yapabilir.”
Bulgular, özellikle net politikalar veya güvenlik korkulukları olmadan, araç zehirlenmesi, halı çekme, gölgeleme, hızlı enjeksiyon ve yetkilendirilmemiş ayrıcalık artışı gibi yepyeni saldırı vektörleri açabilmek için MCP ve AI araçlarının kurumsal ortamlarda hızlı bir şekilde benimsenmesinin olduğunu göstermektedir.
Geçen hafta yayınlanan bir raporda, Palo Alto Networks Birimi 42, AI kod asistanlarında bir AI modelinin bilgi boşluğunu kapatmak için kullanılan bağlam ek özelliğinin, rakiplerin büyük dil modellerinde (LLM’lerde (LLMS) istenmeyen davranışları tetiklemek için dış veri kaynakları içine zararlı bilgi istemleri yerleştirdiği dolaylı hızlı enjeksiyona duyarlı olabileceğini ortaya koydu.
Dolaylı hızlı enjeksiyon, asistanın kullanıcı tarafından verilen talimatlar ile saldırgan tarafından harici veri kaynaklarına gizlice gömülü olan talimatlar arasında ayrım yapamamasına bağlıdır.
Bu nedenle, bir kullanıcı, bir saldırgan tarafından zaten lekelenmiş olan kodlama asistanı üçüncü taraf verilerine (örneğin bir dosya, depo veya URL) yanlışlıkla sağladığında, gizli kötü niyetli istemi, aracı bir arka kapı yürütme, mevcut bir kod için enjekte eden ve hatta duyarlı bilgi sızdırmaz.
Ünite 42 araştırmacısı Osher Jacob, “Bu bağlamın istemlere eklenmesi, kod asistanının daha doğru ve spesifik çıktı sağlamasını sağlıyor.” Dedi. “Bununla birlikte, kullanıcılar istemeden aktörlerin kontamine olduğu bağlam kaynakları sağlarsa, bu özellik dolaylı hızlı enjeksiyon saldırıları için bir fırsat da yaratabilir.”
AI kodlama ajanları, LLM’yi beslendiği talimatların gerçekte olduğundan çok daha güvenli olduğuna ikna etmeyi amaçlayan “döngü içinde yalanlar” (litl) saldırısına karşı savunmasız bulunmuştur.
CheckMarx araştırmacısı Ori Ron, “Litl bir insan ve ajan arasındaki güveni kötüye kullanıyor.” Dedi. “Sonuçta, insan sadece ajanın onları ne istediğine ve ajanın kullanıcının ne istediği şeylere yanıt verebilir. Temsilcinin verildiği bağlamdan çıkarılır. Temsilciye yalan söylemek kolaydır, bu da bir GitHub sorunu gibi bir şeyde sahte, görünüşte güvenli bir bağlam sağlamasına neden olur.”
Diyerek şöyle devam etti: “Ve ajan, istenmenin korunması gereken kötü niyetli eylemleri gizleyerek, yalanları kullanıcıya tekrarlamaktan mutluluk duyuyor, bu da bir saldırganın esasen kralliye anahtarları almada bir suç ortağı haline getirmesine neden oluyor.”