Coinbase'in Tercih Ettiği Yapay Zeka Kodlama Aracında Güvenlik Açığı: Hackerlar Kötü Amaçlı Yazılımları Gizlice Enjekte Edebiliyor

Siber güvenlik firması HiddenLayer, Coinbase gibi şirketlerin kullandığı yapay zeka (YZ) kodlama aracında bir güvenlik açığı tespit etti. Bu açık, hackerların kötü amaçlı yazılımları gizlice enjekte etmelerine ve bir organizasyon içinde yaymalarına olanak tanıyor. HiddenLayer'a göre, "CopyPasta License Attack" olarak adlandırılan bu saldırı, yaygın geliştirici dosyalarında kötü niyetli talimatlar gizleyerek "aksi takdirde güvenli olacak kod tabanlarına kasıtlı güvenlik açıkları" yerleştirebilir.

HiddenLayer, bu açığı ağırlıklı olarak, Coinbase'in mühendislik ekibinin çoğu geliştirici için tercih edilen araç olduğunu söylediği ve Şubat ayına kadar "her Coinbase mühendisi" tarafından kullanıldığı belirtilen YZ destekli kodlama aracı Cursor üzerinde test etti. Ayrıca, HiddenLayer'a göre YZ kodlama araçları Windsurf, Kiro ve Aider da bu saldırıya karşı savunmasız durumda.

CopyPasta saldırısı, YZ kodlama araçlarını bir kullanıcının bilgisi olmadan yönlendirebilen gizli talimatlar veya "istek enjeksiyonları" LICENSE.txt ve README.md dosyalarına yerleştiriyor. Virüs veya YZ için istek enjeksiyonu, bir README dosyasında açıklayıcılar veya notlar eklemek için kullanılan bir işaretleme yorumunda gizleniyor. HiddenLayer, virüsü içeren bir kod deposu oluşturdu ve Cursor'dan bunu kullanmasını istedi. Gizli talimatlar, isteği oluşturduğu yeni dosyalara kopyaladı.

Bu güvenlik açığının ortaya çıkması, Coinbase CEO'su Brian Armstrong'un YZ'nin kodlarının %40'ını yazdığını ve bunu önümüzdeki ay %50'ye çıkarmak istediğini belirtmesi üzerine yaşanan tartışmaların ardından geldi. Armstrong, YZ tarafından oluşturulan kodun "incelenmesi ve anlaşılması" gerektiğini ve değişimin tüm alanlarında kullanılamayacağını, ancak "mümkün olduğunca sorumlu bir şekilde" kullanılması gerektiğini söyledi.

Coinbase mühendislik ekibinin blog yazısında, YZ'nin ön uç kullanıcı arayüzleri ve "daha az hassas veri arka uçları" üzerinde en derin şekilde benimsendiği, "karmaşık ve sistem açısından kritik değişim sistemleri"nde ise daha yavaş bir benimseme görüldüğü belirtildi. Armstrong ayrıca, Coinbase'in Cursor ve GitHub Copilot için lisanslar satın almasının ardından, YZ araçlarını denemeyen mühendisleri işten çıkardığını da belirtti.

Sonuç olarak, Coinbase'in kullandığı YZ kodlama aracındaki güvenlik açığı, kötü niyetli kişilerin sistemlere sızmasına ve hassas verilere erişmesine olanak tanıyabilir. Bu durum, YZ kullanımının güvenliği ve denetimi konusunda daha fazla dikkat gösterilmesi gerektiğini vurguluyor.