Ajansal Yapay Zeka, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Çalışma, Yapay Zeka Aracı Sunucularında Zayıf Kimlik Doğrulama Uygulamalarını Buluyor
Rashmi Ramesh (raşmiramesh_) •
15 Ekim 2025
Araştırmalar, geliştiricilerin yapay zeka araçlarını harici uygulamalara ve veri kaynaklarına bağlamak için kullandıkları araçların genellikle API anahtarları ve kişisel erişim belirteçleri gibi statik kimlik bilgileriyle güvence altına alındığını ve yapay zeka aracı sistemlerini hırsızlığa veya kötüye kullanıma açık hale getirdiğini gösteriyor.
Ayrıca bakınız: Kavram Kanıtı: Yapay Zeka Ajanları Çağı İçin Kimliği Yeniden Düşünmek
Astrix Research, geliştiricilerinin kimlik doğrulamayı nasıl yönettiğini anlamak için 5.200’den fazla açık kaynaklı model bağlam protokolü sunucusu uygulamasını inceledi. Sunucuların %88’inin kimlik bilgileri gerektirdiğini, ancak yarısından fazlasının kısa ömürlü veya yetkilendirilmiş erişim belirteçleri yerine uzun ömürlü, statik sırlara bağlı olduğunu buldu. Yalnızca küçük bir kısmı, güvenli yetkilendirme için standart protokol olan OAuth’u kullanıyor.
MCP sunucuları, yapay zeka modelleri ile harici sistemler arasında aracı görevi görerek bunların bilgi almasına ve eylem gerçekleştirmesine olanak tanır. Ancak kimlik bilgilerinin işlenme şekli (çoğunlukla doğrudan yapılandırma dosyalarında saklanan veya ortam değişkenleri olarak aktarılan), bu makinelerin güvenliği ihlal edildiğinde yetkisiz erişim fırsatları yaratır.
Araştırmacılar sorunun izini protokolün ilk günlerine kadar sürdü. Anthropic, MCP’yi 2023’te piyasaya sürdüğünde, yeteneklerini göstermek için kullanılan örnek sunucular, kişisel erişim belirteçlerine ve temel şifrelere dayanıyordu. Daha sonraki örnekler bu varsayılanları düzeltse de, orijinal modeller topluluk tarafından inşa edilen projelerde devam etti.
MCP binlerce açık kaynak uygulamasına genişledi. Astrix, GitHub’daki yaklaşık 20.000 deponun bir tür MCP sunucu kodu içerdiğini tahmin ediyor.
Statik kimlik bilgileri, nadiren geçerliliğini yitirdiği veya dönüşümlü olarak kullanıldığı ve sıklıkla hizmetler arasında paylaşıldığı için risklidir. Açığa çıktıklarında bağlı sistemlere uzun süreli, sınırsız erişim sağlayabilirler. Raporda, API anahtarlarını kullanan sunucuların neredeyse %80’inin bunları ortam değişkenleri aracılığıyla elde ettiği belirtildi; bu, kolaylık sağlayan ancak çok az yalıtım sağlayan yaygın bir uygulamadır.
Diğer güvenlik araştırmacıları da benzer uyarılarda bulundu. Ters Eğik Çizgi Araştırması daha önce, halka açık olarak listelenen birkaç MCP sunucusunun, herhangi bir ağ arayüzünden gelen komutları kabul edecek şekilde yapılandırıldığını ve saldırganların uzaktan kod yürütmesine olanak tanıdığını bulmuştu. Ayrı bir akademik çalışma, MCP’deki zayıf erişim kontrollerinin, sistemler arasında yanal olarak hareket etmek veya doğrudan kullanıcı etkileşimi olmadan veri çıkarmak için nasıl istismar edilebileceğini gösterdi.