AI Kodlama Aracı'nın Gizli Tehlikesi: Arka Kapı Güvenlik Açığı Büyük Kripto Platformunu Tehdit Ediyor

Büyük bir kripto para borsası tarafından yaygın olarak kullanılan popüler bir AI kodlama asistanı, siber güvenlik firması HiddenLayer'a göre, hackerların gizli kötü amaçlı yazılım yerleştirmesine ve tüm organizasyonları tehlikeye atmasına olanak tanıyabilecek tehlikeli bir arka kapı açığı barındırıyor.

Perşembe günü yayınladıkları blog yazısında, araştırmacılar "CopyPasta Lisans Saldırısı"nın Cursor kod editöründeki zayıflıkları nasıl kullandığını ayrıntılı bir şekilde açıkladı. Bu saldırı yüzeyde masum görünse de, yaygın geliştirici dosyalarına kötü amaçlı talimatlar yerleştirebilir.

Teknik Sömürü

Otomatik tamamlama ve otomatik kod önerileri sunan Cursor, Auto-Run modunda kritik bir açık içermektedir. Bu güvenlik açığı, yetkisiz kod yürütümünü önlemek için tasarlanmış güvenlik protokollerini aşmaktadır.

Sömürü, yazılım lisans uyumluluğunu yöneten Cursor içindeki sistem istemlerini manipüle eder. Kendini README markdown dosyalarında GPL anlaşmaları gibi standart lisans metni ( olarak gizleyerek, saldırı AI'yi gizli komutları yürütmeye kandırabilir.

“Kötü amaçlı talimatlarla birleştiğinde, CopyPasta saldırısı kendini karmaşık bir şekilde yeni depo'lara aynı anda kopyalar ve aksi takdirde güvenli kod tabanlarına kasıtlı zayıflıklar ekler,” diye açıkladı HiddenLayer.

Test sırasında, araştırmacılar Python dosyalarına tek bir kod satırı ekleyen zararsız bir yük yerleştirdi. Ancak, bu aynı yöntemin arka kapılar yerleştirmek, hassas verileri çalmak, sistem kaynaklarını tüketmek veya üretim ortamlarını bozmak için silahlandırılabileceği konusunda uyardılar.

Windsurf, Kiro ve Aider dahil olmak üzere birkaç diğer AI kodlama aracı da bu istismara karşı savunmasız bulundu. Hem HiddenLayer hem de güvenlik grubu BackSlash, bu zafiyeti bağımsız olarak rapor etti.

Zorunlu AI Benimsemesi Endişeleri Artırıyor

Bu açıklama, borsanın CEO'sunun organizasyon genelinde AI kodlama araçlarını agresif bir şekilde teşvik ettiği özellikle sorunlu bir zamanda geliyor. Daha dün, mühendislik ekibinin Cursor'a büyük ölçüde bağımlı olduğunu ve tüm mühendisler için kullanımını Şubat ayına kadar zorunlu hale getirmeyi planladığını açıkladı.

Geçen ay bir podcast röportajında, CEO geliştiricilere bir son tarih verdiğini kabul etti: bir hafta içinde GitHub Copilot ve Cursor kullanmaya başlamazlarsa işlerini kaybetme riskiyle karşılaşacaklar.

“Rogue davranıp all-in Slack kanalında paylaştım… Eğer hafta sonuna kadar ) olmazsa, bunu yapmamış herkesle Cumartesi günü bir toplantı yapacağım ve nedenini anlamak için seninle görüşmek istiyorum,” dedi.

Yönetici, sosyal medyada AI'nın şu anda şirketin kodunun yaklaşık %40'ını ürettiğini ve Ekim ayına kadar %50'yi aşması beklentisi olduğunu övünerek açıkladı. Silikon Vadisi'nin en sesli AI savunucularından biri olmasına rağmen, sert yaklaşımı teknoloji topluluğunda eleştirilere neden oldu.

Yeterli güvenlik denetimi olmadan AI kodlama araçlarını benimseme konusunda bu aceleciliğin, felaket bir ihlale zemin hazırlayıp hazırlamadığını merak etmeden edemiyorum. Yöneticiler teknolojik benimsemeyi güvenlik endişelerinin önüne koyduğunda, herkesin varlıkları tehlikeye atılmış oluyor.