7/24 Destek
SSS
 Kontrol Paneli
Hesap Bakiyesi:    
AI Kod Yardımcılarında Güven Tuzağı: Bir Tık Nasıl Her Şeyi Tehlikeye Atar

AI Kod Yardımcılarında Güven Tuzağı: Bir Tık Nasıl Her Şeyi Tehlikeye Atar

May 08, 2026 ai security coding tools vulnerability research devsecops mcp protocol claude code supply chain security

Yapay Zeka Kodlama Araçlarında Gizli Tehlike: Bir Tıkla Nasıl Ele Geçiriliyorsunuz

Yazılımcı olarak hepimiz aynı şeyi yapıyoruz: bir projeyi klonluyoruz—belki bir arkadaşın kodu, açık kaynak bir kütüphane ya da internetten bulduğumuz bir snippet. Çabuk göz gezdirir, lokalde çalıştırırız, devam ederiz. Bu artık içgüdüsel bir refleks. Fakat TrustFall adlı yeni bir araştırma, yapay zeka kodlama asistanlarının bu riskli alışkanlığı devraldığını—ve bunun ciddi bir güvenlik açığına dönüştüğünü ortaya koyuyor.

Saldırıya Davetiye Çıkaran Kurulum

Adversa AI araştırmacıları, dört büyük yapay zeka kodlama aracında ölümcül bir kusur tespit etti: bu araçlar, proje konfigürasyon dosyalarında tanımlanan yardımcı programları otomatik olarak çalıştırıyor. Bunu yaparken de sadece "bu klasöre güveniyorum musun?" şeklinde bir iletişim kutusuna güveniyorlar—ve bu kutunun varsayılan seçeneği evet.

Işın aslı şöyle:

Bu araçlar Model Context Protocol (MCP) adlı bir sistem kullanıyor. Bu sistem, yapay zeka asistanlarının dış programlarla—veritabanı bağlayıcıları, kod analizörleri, özel araçlar—haberleşmesini sağlıyor. Faydalı gelmeli, değil mi? Öyle aslında. Ancak sorun şu: bu yardımcı programlar, projenin içindeki konfigürasyon dosyalarında tanımlanıyor.

Bir depoyu bu araçlardan birinde açıp güven istemini onayladığınız an, sistem sadece kodunuzu indekslemiyor. Aslında o yardımcı programları çalıştırıyor. Ve bu programlar sizin tam yetkinizle çalışıyor.

Tek bir tuşa basış. Sadece bu kadar.

Neler Ters Gidebilir (Spoiler: Her Şey)

Kötü niyetli bir yardımcı program şu işleri yapabilir:

  • SSH anahtarlarınızı ve bulut kimlik bilgilerinizi çalmak
  • Komut geçmişinize erişmek
  • Makinenizde başka projelerdeki kaynak kodlarını okumak
  • Saldırganlar tarafından kontrol edilen sunuculara bağlantı kurmak

Ve şu da önemli: tüm bu olaylar, yapay zekanın herhangi bir akıl yürütme yapmasından önce gerçekleşiyor. Kod başlangıçta otomatik olarak çalışıyor.

Saldırı kendisi şaşırtıcı derecede basit—sadece iki küçük JSON dosyası. Birisi masum görünen bir "linter" taşıyor ama aslında internetten kod çekip çalıştırıyor. Diğeri bunu otomatik onaylıyor. Depo, hızlıca gözden geçiren biri için neredeyse boş görünebilir.

İletişim Kutusunun Tuzağı

İşte burası UX'in güvenlik sorunu olduğu yer. Geliştiricilerin aslında ne gördüğüne bakalım:

Claude Code (v2.1+): "Hızlı güvenlik kontrolü: Bu sizin oluşturduğunuz ya da güvendiğiniz bir proje mi?" Varsayılan: Evet. Dikkat edilecek nokta: daha önceki bir versiyonda MCP'yi devre dışı bırakarak klasöre güven seçeneği vardı. Bu kaldırıldı.

Gemini CLI: Yardımcı programların isimlerini açıkça listeliyor, en azından dikkatli okuyanlar kontrol edebiliyor.

Cursor CLI: MCP'den belirsiz şekilde bahsediyor.

Copilot CLI: Genel bir güven istemi gösteriyor—MCP'nin bahsedilmediği bir form.

Hepsinin varsayılan seçeneği güven.

Araştırmayı yöneten Rony Utevsky'nin de işaret ettiği gibi: sorun sadece açık değil. Sorun şu ki, geliştiriciler "evet" butonuna basıp ne kabul ettiklerini anlamıyorlar.

CI/CD Tarafında Daha Kötüsü

İşte işlerin ciddi hale geldiği yer: Claude Code, sürekli entegrasyon sunucusunda çalışsa—Anthropic'in resmi GitHub Action'ı üzerinden—güven diyalogu hiç gösterilmiyor. Başsız (headless) modda çalışıyor.

Bu demek oluyor ki:

  • Harici bir katılımcıdan gelen kötü niyetli bir pull request, bozuk konfigürasyonu gönderiyor
  • Pipeline o branş karşısında çalıştığı anda, yardımcı program başlıyor
  • Dağıtım anahtarlarınıza, imza sertifikalarınıza ve bulut tokenlarınıza erişimi var

Adversa AI, ortam değişkenlerini doğrudan bir toplayıcıya sızdıran çalışan bir ispat yayınladı. Bu teorik değil—gerçek bir saldırı yoludur.

Şu Anda Yapabileceğiniz İşler

Eğer kurumsal bir ortamda Claude Code kullanıyorsanız, gerçek bir seçeneğiniz var: Managed scope (Yönetilen Kapsam).

Bu, BT ekibinin tüm geliştirici makinelerine gönderebileceği ve yerel geçersiz kılmayı kilitleyebileceği merkezi bir konfigürasyon seçeneği. Kuruluşunuz bunu ayarlarsa, proje kapsamlı MCP otomatik onayını tüm işletmede tek bir politika değişikliğiyle kapatabilirsiniz.

Ama bir sorun var: Adversa AI'ın araştırmasına göre, çoğu kuruluş bunu kullanmıyor. Ve nasıl kurulacağı ya da yapılandırma nüanslarının ne anlama geldiği pek açık değil—özellikle yapay zeka destekli kodlamaya yeni başlayan geliştiriciler için.

Araç Satıcıları Ne Söylüyor

Anthropic, TrustFall raporunu inceledi ve konusu şu: "Evet, bu klasöre güveniyorum" demek, proje içindeki her şey—MCP tanımları da dahil—için bilgili onay demek. Onların tehdit modelinde, güven kararından sonraki yürütme aslında doğru şekilde çalışıyor.

Adversa AI, Anthropic'in tehdit modelinin yanlış olduğunu söylemiyorlar. Endişeleri şu: bu diyalog gerçekten geliştiricileri kabul ettikleri şey hakkında bilgilendiriyor mu?

(Anthropic ek açıklamalar için yanıt vermedi.)

Bunun Sizin İçin Anlamı

Bu açık, pek konuşmadığımız bir şeyi vurguluyor: Yapay zeka geliştirme araçları güçlüdür çünkü geliştirme ortamının derin katmanlarında çalışırlar. O güç sorumluluğu getirir.

Eğer Claude Code, Gemini CLI, Cursor ya da Copilot CLI kullanıyorsanız:

  1. Güven istemlerine kasıtlı şekilde davranın. İstemin üzerinden hızlıca geçmeyin. Ne dediğini gerçekten okuyun.
  2. Konfigürasyon dosyalarını kontrol edin. Tanımadığınız bir depoyu klonladıysanız, yapay zeka aracında açmadan önce .mcp.json benzeri dosyaları inceleyin.
  3. MCP görünürlüğü isteyin. Onay isteminde yardımcı programların isimlerini açıkça listeleyen aracı kullanın (Gemini CLI).
  4. Kuruluşunuzdaysanız managed scope'u etkinleştirin. BT ekibinizle merkezi MCP politikasını uygulamak için çalışın.
  5. Araçlarınızı güncel tutun. Satıcılar sorunu biliyor. Güncellemeler güven diyaloğunu geliştirebilir.

Daha Geniş Perspektif

TrustFall, modern yazılımgeliştirmenin kalbinde bir çatışmayı ortaya koymamız: kolaylık ve güvenlik çoğu zaman çelişkili görünen şeyler olarak algılanıyor. Varsayılan "evet" diyalogları var çünkü çoğu geliştirici, çoğu zaman kendi projelerine güveniyor. Fakat herkesin herkesin kodunu açabildiği bir dünyada, bu bahis biraz düşüncesizce yapılabilir.

Soru şu değil: bu araçlar MCP ve yardımcı programları desteklemeli mi? Desteklemeli—bu özellikler gerçekten yararlı. Soru şu: "bu projeye güveniyorum" ile "rastgele kodu çalıştır" arasındaki arayüz yeterince net mi?

Şu anki cevap: hayır. Geliştiriciler, takımlar ve satıcıların üzerinde çalışması gereken işler var.

Siz araç güvenliğine nasıl yaklaşıyorsunuz? Karmaşık güven istemiyle karşılaştınız mı? Yapay zeka araçları güvenliği hakkındaki sohbet yeni başlıyor. Bunun bir parçası olduğunuzdan emin olun.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN