Claude Kod sızıntısı: Araştırmacılar ilk güvenlik açığını buldu

31 Mart'ta Claude AI'nin arkasındaki şirket olan Anthropic, Claude Code kodlama aracının arkasındaki kodun büyük bir bölümünü yanlışlıkla çevrimiçi hale getirdi. O zamandan beri, Anthropic bir süredir bu kodun kopyalarına karşı harekete geçmek için. Analistler kodda Anthropic için potansiyel olarak sakıncalı bazı bilgiler buldular. Buna YOLO protokolü de dahildir.

Sızıntıdan hiçbir model ağırlığı etkilenmemiş olsa da, aracın nasıl çalıştığına dair ayrıntılı bir plan sunuyor. Bu da potansiyel saldırganların hedeflenen güvenlik açıklarını tespit etmesini ya da kötü amaçlı yazılım yayabilecek programın oldukça ikna edici kopyalarını oluşturmasını kolaylaştırıyor. Bu bağlamda Adversa AI ekibi adresinde kritik bir güvenlik açığı keşfetti claude Code'un izin sisteminde.

Claude Code, doğrudan komut satırında çalışan ve dosyaları düzenleyebildiği gibi kabuk komutlarını da çalıştırabilen terminal tabanlı bir yardımcıdır. Güvenliği sağlamak için araç bir izin kuralları sistemi kullanır. Kullanıcılar, bir ağ üzerinden veri aktarmak için kullanılan "curl" komutu gibi belirli komutları kesin olarak engelleyen sözde reddetme kuralları tanımlayabilirler. Buna karşın, sürüm kontrolü için "git" gibi diğer komutlara açıkça izin verilebilir.

Keşfedilen güvenlik açığı, karmaşık komut zincirlerinin işlenmesinde yatmaktadır. Performans sorunlarını ve kullanıcı arayüzünün donmasını önlemek için Anthropic detaylı güvenlik analizini en fazla 50 alt komutla sınırlıyor. Bir komut zinciri daha uzunsa, tek tek kontroller atlanır ve kullanıcıya komutun yürütülüp yürütülmeyeceğini soran genel bir istem gösterilir.

Bu davranış, komut istemi ekleme yoluyla istismar edilebilir. Bu tür bir saldırıda, bir saldırgan güvenlik filtrelerini atlamak için yapay zekanın girdilerini manipüle eder. Özellikle, bir saldırgan "CLAUDE.md" adlı manipüle edilmiş bir dosyayı genel bir yazılım deposuna yerleştirebilir. Bu dosya YZ ajanı için talimatlar içerir. Bir geliştirici depoyu klonlar ve ajandan projeyi incelemesini isterse, YZ'ye meşru görünen 50'den fazla komuttan oluşan bir zinciri yürütmesi talimatı verilebilir.

İşte gereksinimlerinize ve sağladığınız açılışa dayanan makalenin tamamı.

Claude Code'da güvenlik riski: Sızıntı veri hırsızlığını mümkün kılıyor

Kazara gerçekleşen bir kaynak kodu sızıntısından kısa bir süre sonra, yapay zeka kodlama ajanı Claude Code'da kritik bir güvenlik açığı keşfedildi. Bu açık, saldırganların güvenlik kurallarını atlamasına ve geliştiricilerin makinelerinden SSH anahtarları gibi hassas verileri çalmasına olanak tanıyor.

31 Mart'ta, Claude AI'nin arkasındaki şirket olan Anthropic, Claude Code kodlama aracının arkasındaki kodun büyük bir bölümünü yanlışlıkla çevrimiçi hale getirdi. Kaynak kodu, JavaScript için bir paket yöneticisi olan npm'de, derlenmiş program kodunu tekrar insan tarafından okunabilir bir forma çeviren bir dosya olan kaynak haritasının yanlışlıkla yayınlanmasıyla erişilebilir hale geldi. Sonuç olarak, araştırmacılar yapay zeka ajanının kodunu yeniden yapılandırmayı başardılar. Sonuç, JavaScript üzerine inşa edilen ve ek yazım özellikleri ekleyen bir programlama dili olan TypeScript'in yaklaşık 512.000 satırına denk geliyor.

Hiçbir model ağırlığı veya müşteri verisi doğrudan açığa çıkmamış olsa da, sızıntı aracın nasıl çalıştığına dair ayrıntılı bir plan sunuyor. Bu da potansiyel saldırganların hedeflenen güvenlik açıklarını tespit etmelerini ya da programın kötü amaçlı yazılım yayabilecek son derece ikna edici kopyalarını oluşturmalarını kolaylaştırıyor. Bu bağlamda Adversa AI ekibi Claude Code'un izin sisteminde kritik bir güvenlik açığı keşfetti.

Claude Code, doğrudan komut satırında çalışan ve kabuk komutlarını yürütmenin yanı sıra dosyaları da düzenleyebilen terminal tabanlı bir yardımcıdır. Güvenliği sağlamak için araç bir izin kuralları sistemi kullanır. Kullanıcılar, örneğin ağ üzerinden veri aktarmak için kullanılan "curl" komutu gibi belirli komutları kesin olarak engelleyen sözde reddetme kuralları tanımlayabilirler. Buna karşın, sürüm kontrolü için "git" gibi diğer komutlara açıkça izin verilebilir.

Keşfedilen güvenlik açığı, karmaşık komut zincirlerinin işlenmesinde yatmaktadır. Performans sorunlarını ve kullanıcı arayüzünün donmasını önlemek için Anthropic detaylı güvenlik analizini en fazla 50 alt komutla sınırlıyor. Bir komut zinciri daha uzunsa, tek tek kontroller atlanır ve kullanıcıya komutun yürütülüp yürütülmeyeceğini soran genel bir istem gösterilir.

Bu davranış, komut istemi enjeksiyonu olarak adlandırılan yolla istismar edilebilir. Bu tür bir saldırıda, bir saldırgan güvenlik filtrelerini atlamak için YZ'nin girdilerini manipüle eder. Özellikle, bir saldırgan "CLAUDE.md" adlı manipüle edilmiş bir dosyayı genel bir yazılım deposuna yerleştirebilir. Bu dosya YZ ajanı için talimatlar içerir. Bir geliştirici depoyu klonlar ve aracıdan projeyi oluşturmasını isterse, YZ'ye görünüşte meşru olan 50'den fazla komuttan oluşan bir zincir yürütmesi talimatı verilebilir.

51. komuttan başlayarak, ayrı ayrı yapılandırılmış reddetme kuralları artık geçerli değildir. Tek bir "curl" komutu engellenirken, uzun bir zincire eklendiğinde göz ardı edilir. Bu, saldırganların SSH anahtarları, sunuculara güvenli uzaktan erişim için kullanılan kriptografik anahtarlar veya bulut kimlik bilgileri gibi hassas verileri geliştiricinin yerel makinesinden arka planda harici bir sunucuya göndermesine olanak tanır. Bu durumda sistem yalnızca genel bir onay istediğinden, kullanıcı güvenlik politikalarının etkin bir şekilde geçersiz kılındığını fark etmez.

Özellikle dikkat çekici olan, 2.1.88 sürümünün sızdırılan kaynak kodunun bu sorun için zaten bir düzeltme içermesidir. Anthropic, kod yapılarını analiz etmek için kullanılan bir program olan ve komut zincirinin uzunluğuna bakılmaksızın reddetme kurallarını doğru bir şekilde kontrol eden daha modern bir ayrıştırıcı geliştirmişti. Ancak, bu programın halka açık sürümlerinde uygulanmadı. Bunun yerine, eski kusurlu mekanizma kullanılmaya devam etti.

Anthropic bu arada sorunu çözmüş gibi görünüyor. Sürüm 2.1.90 için değişiklik günlüğüne göre'de parse-fail fallback deny-rule degradation olarak tanımlanan bir sorun giderildi. Ancak, araştırmacılarına göre potansiyel güvenlik açığı, sorunu ele almanın başka yolları da vardır.