Microsoft: Claude Code Güvenlik Açığı, GitHub Kimlik Bilgilerini Riske Atabilir
Araştırmacılara göre prompt injection saldırıları, yapay zeka destekli kodlama ajanlarını yazılım geliştirme hatlarındaki hassas kimlik bilgilerine erişecek şekilde yönlendirebilir. Microsoft, bu tür bir zafiyetin GitHub ve diğer geliştirme araçlarında saklanan verileri riske atabileceğini belirtiyor.
Microsoft araştırmacıları, Claude Code gibi yapay zeka destekli kodlama araçlarının prompt injection saldırılarına karşı istismar edilebileceğini ve bunun yazılım geliştirme süreçlerinde tutulan hassas kimlik bilgilerine erişim riski doğurabileceğini söyledi.
Decrypt’in aktardığı bilgilere göre, saldırganlar bu yöntemi kullanarak AI kodlama ajanlarını beklenmedik işlemler yapmaya yönlendirebilir. Araştırmacılar, tehlikenin özellikle yazılım geliştirme hatlarında saklanan credentials gibi verilere ulaşılması halinde büyüdüğünü belirtiyor.
Haberde, söz konusu riskin GitHub ve benzeri geliştirme ortamlarında yer alan bilgilerle bağlantılı olduğu ifade ediliyor. Microsoft’un değerlendirmesi, AI tabanlı araçların yalnızca kod üretimi değil, aynı zamanda erişebildikleri veri ve sistemler açısından da güvenlik incelemesine ihtiyaç duyduğunu gösteriyor.
Araştırmacılar, bu tür saldırıların temelinde modelin dışarıdan gelen zararlı yönergelerle manipüle edilmesi olduğunu vurguluyor. Bu nedenle, AI kodlama ajanlarının kullanıldığı ortamlarda yetki sınırları ve veri erişim kontrolleri önem taşıyor.