Agentjacking Saldırısı Yapay Zeka Ajanlarını Hedef Alıyor
Tenet Security, 12 Haziran 2026'da yayınladığı araştırmada "agentjacking" adını verdiği yeni bir saldırı sınıfını duyurdu. Saldırı, sahte bir Sentry hata raporu üzerinden Claude Code, Cursor ve Codex gibi yapay zeka kodlama ajanlarını geliştiricinin makinesinde zararlı kod çalıştırmaya kandırıyor. Tenet, 2.388 kuruluşun açık olduğunu ve testlerde yüksek başarı oranı elde edildiğini bildiriyor. Bu yazıda saldırının nasıl çalıştığı, neden mevcut güvenlik araçlarının yakalayamadığı ve geliştiricilerin alabileceği önlemler ele alınıyor.
Agentjacking Nedir ve Neden Tehlikeli?
Agentjacking, bir saldırganın Sentry hata olaylarına gizli komutlar enjekte ederek yapay zeka kodlama ajanlarını ele geçirmesine dayanan bir saldırı sınıfıdır. The Hacker News'te yayınlanan habere göre saldırı, Sentry adlı açık kaynaklı hata izleme ve performans takip platformunda hazırlanan sahte bir hata raporuyla tetikleniyor. Araştırmacılar Ron Bobrov, Barak Sternberg ve Nevo Poran, saldırının iki sistemin kesişimindeki mimari bir açığı sömürdüğünü belirtiyor.
"Saldırı, Sentry'nin olay alımı (DSN'e sahip herkesten rastgele veri kabul eden) ile Sentry MCP sunucusunun (bu veriyi yapay zeka ajanlarına güvenilir sistem çıktısı olarak döndüren) kesişimindeki mimari bir açığı sömürüyor."
Tehlikenin kaynağı bu örtük güven. Bir geliştirici yapay zeka ajanına "çözülmemiş Sentry hatalarını düzelt" dediğinde, ajan Sentry'yi sorguluyor ve gelen yanıtı tıpkı bir geliştirici gibi doğru kabul ediyor. Ajan, enjekte edilmiş zararlı talimatı meşru bir çözüm adımından ayırt edemiyor.
Saldırı Adım Adım Nasıl Çalışıyor?
Saldırının zinciri birkaç aşamadan oluşuyor. Cloud Security Alliance'ın araştırma notuna göre saldırgan, yalnızca bir Sentry DSN'i kullanarak hata olaylarına zararlı talimat enjekte ediyor. DSN, herkesçe okunabilen, yalnızca yazma yetkisi olan bir kimlik bilgisi; tarayıcı JavaScript'inden veya GitHub aramasından keşfedilebiliyor. Saldırganın ihtiyaç duyduğu tek şey, POST isteği gönderebilen herhangi bir HTTP istemcisi.
Tenet Security'nin kendi blog yazısında aktarılan adımlar şöyle ilerliyor:
Saldırgan, public DSN ile Sentry'ye sahte bir hata olayı gönderir.
Hata mesajına ve bağlam alanlarına özenle biçimlendirilmiş Markdown enjekte edilir.
Bu Markdown, bir yapay zeka ajanı tarafından çekildiğinde Sentry'nin kendi çözüm rehberinden görsel ve yapısal olarak ayırt edilemez hale gelir.
Geliştirici ajana "çözülmemiş Sentry sorunlarını düzelt" dediğinde, ajan MCP üzerinden Sentry'yi sorgular ve enjekte edilmiş olayı alır.
Ajan, talimatı meşru bir teşhis adımı sanarak saldırgan kontrolündeki bir npm paketini çalıştırır.
Paket, geliştiricinin tam sistem yetkileriyle çalışır.
Tenet'in kontrollü testinde çalıştırılan paket, npm kayıt defterinden indiriliyor ve sorumlu açıklama amacıyla bir güvenlik tarama başlığı taşıyor. Gerçek bir saldırıda ise aynı mekanizma keyfi kod çalıştırmak için kullanılabilir.
Neden Mevcut Güvenlik Araçları Yakalayamıyor?
Saldırının en rahatsız edici yanı, geleneksel savunmaların hiçbirinin devreye girmemesi. GBHackers'ta yayınlanan analize göre agentjacking; EDR, WAF, IAM kontrolleri, VPN, Cloudflare ve güvenlik duvarlarını tamamen atlıyor. Sebep basit: saldırı zincirindeki her adım teknik olarak yetkili.
Tenet bunu "Yetkili Niyet Zinciri" (Authorized Intent Chain) olarak adlandırıyor. Geliştirici yapay zeka ajanını yetkilendirdi, ajan MCP bağlantısını yetkilendirdi, MCP bağlantısı da geliştiricinin açıkça entegre ettiği güvenilir bir servis olan Sentry'den veri döndürüyor. Her adım yetkili olduğu için hiçbir anormallik alarmı tetiklenmiyor. Mevcut güvenlik modeli yetkisiz davranışı yakalamak üzere kurulmuş, oysa bu saldırı hiç yetkisiz adım içermiyor.
Prompt katmanındaki savunmalar da işe yaramıyor. Cybersecurity News'te aktarılan bulgulara göre sistem komutları ajanlara güvenilmeyen veriyi göz ardı etmelerini açıkça söylediğinde bile, ajanlar saldırgan yüklerini çalıştırdı. Bu durum, zayıflığın bir yanlış yapılandırma değil, mevcut modellerin MCP araç çıktısını işleme biçimine içkin olduğunu doğruluyor. Yani sorun, yamayla kapatılabilecek bir hata değil, mimari bir mesele.
Hangi Ajanlar ve Kaç Kuruluş Etkileniyor?
Etkilenen ajanlar, en yaygın kullanılan yapay zeka kodlama asistanları. Aşağıdaki tablo Tenet'in testlerinde ortaya çıkan temel sayıları özetliyor.
Bulgu | Değer |
|---|---|
Hedeflenen ajanlar | Claude Code, Cursor, Codex |
Açık kuruluş sayısı | 2.388 |
Test edilen gerçek hedef | 100'den fazla |
Sentry'ye bildirim tarihi | 3 Haziran 2026 |
Mallory.ai'da derlenen bilgilere göre araştırmacılar enjekte edilebilir DSN'e sahip 2.388 kuruluş tespit etti ve testlerde yüksek başarı oranı gözlemledi. Açık kuruluşların bir kısmı global Tranco ilk 1 milyon listesinde yer alıyor, bu da hedeflerin her sektöre yayıldığını gösteriyor. Saldırının bir başka tehlikeli yanı ölçeklenebilirliği: bir yük hazırlandığında binlerce projeye aynı anda enjekte edilebiliyor.
Bu saldırı, yapay zeka kodlama araçlarının yaygınlaşmasıyla ortaya çıkan yeni risk yüzeyinin bir parçası. Yapay zeka kod yazma araçlarının geliştirici iş akışına derinlemesine girmesi, telemetri ve hata izleme platformlarını da saldırı hedefi haline getiriyor. Geliştiricilerin günlük olarak başvurduğu ücretsiz yapay zeka kodlama araçları ekosistemi büyüdükçe, bu araçların bağlandığı harici servislerin güvenliği de aynı oranda kritik hale geliyor.
Sentry Neden Kalıcı Çözüm Uygulamadı?
Tenet, bulgularını 3 Haziran 2026'da Sentry'ye bildirdi. CyberPress'te yayınlanan habere göre Sentry sorunu kabul etti ancak kök neden düzeltmesi uygulamayı reddetti ve saldırı sınıfını platform düzeyinde "teknik olarak savunulamaz" olarak nitelendirdi. Bunun yerine belirli yük dizeleri için global bir içerik filtresi devreye aldı.
Sentry'nin yaklaşımı tartışmalı çünkü içerik filtresi yalnızca bilinen bir yük dizesini hedefliyor; saldırganların filtreyi atlatacak yeni varyasyonlar üretmesi mümkün. Daha geniş çıkarım şu: harici etkiye açık veri döndüren her MCP entegrasyonu benzer bir risk taşıyor. Mevcut yapay zeka modelleri, açıklayıcı veriyi gömülü talimatlardan güvenilir biçimde ayırt edemiyor; özellikle bu talimatlar görünüşte güvenilir loglarda, metriklerde veya hata mesajlarında geçtiğinde. Benzer bir tehdit profili, zararlı yapay zeka modelleri bağlamında daha önce de incelenmişti.
Geliştiriciler Nasıl Korunabilir?
Korunma, tek bir yamadan ziyade çok katmanlı bir yaklaşım gerektiriyor. Saldırının mimari doğası göz önüne alındığında, geliştiricilerin atabileceği pratik adımlar şunlar:
MCP entegrasyonlarını sınırla: Yapay zeka ajanına yalnızca gerçekten gerekli olan harici servisleri bağla. Harici etkiye açık veri döndüren entegrasyonları gözden geçir.
Ajan eylemlerini izle: Ajanın çalıştırdığı komutları, özellikle npm paketi kurulumlarını ve betik çalıştırmalarını gözlemle. Otomatik çalıştırma yerine onay adımı ekle.
DSN maruziyetini denetle: Projenin Sentry DSN'inin nerede açıkta olduğunu kontrol et. DSN public olmak zorunda olsa da, enjekte edilebilir olduğunu bilmek savunma planı için gerekli.
En az yetki ilkesini uygula: Ajanın çalıştığı ortamı izole et. Tam sistem yetkisi yerine kısıtlı bir kabuk veya sanal ortam kullan.
Bu önlemler saldırıyı tamamen ortadan kaldırmıyor ama saldırı yüzeyini daraltıyor. Asıl çözüm, yapay zeka modellerinin araç çıktısındaki veriyi talimattan ayırt etme yeteneğinin gelişmesine bağlı.
Sıkça Sorulan Sorular
Agentjacking nedir?
Agentjacking, Tenet Security tarafından Haziran 2026'da duyurulan ve yapay zeka kodlama ajanlarını sahte hata raporlarıyla zararlı kod çalıştırmaya kandıran bir saldırı sınıfıdır. Saldırgan, public bir Sentry DSN'i kullanarak hata olaylarına gizli talimatlar enjekte eder. Claude Code, Cursor ve Codex gibi ajanlar bu talimatı meşru bir çözüm adımı sanarak çalıştırır.
Claude Code ve Cursor bu saldırıdan etkileniyor mu?
Evet, Tenet Security'nin testlerinde Claude Code, Cursor ve Codex'in enjekte edilmiş Sentry olaylarını meşru teşhis rehberinden ayırt edemediği ve saldırgan komutlarını çalıştırdığı doğrulandı. Saldırı, bu ajanların harici araç çıktısına duyduğu örtük güveni sömürüyor. Sorun tek bir araca değil, ajanların MCP verisini işleme biçimine içkin.
Agentjacking saldırısı için phishing gerekiyor mu?
Hayır, agentjacking phishing gerektirmiyor. Saldırgan yalnızca public ve frontend JavaScript'e gömülü bir Sentry DSN'ine ihtiyaç duyuyor. Bu kimlik bilgisi tasarım gereği herkese açık olduğu için, saldırgan kullanıcıyı kandırmadan veya kötü amaçlı yazılım göndermeden saldırıyı gerçekleştirebiliyor.
Sentry sorunu çözdü mü?
Sentry sorunu kabul etti ancak kök neden düzeltmesi uygulamayı reddetti ve saldırıyı platform düzeyinde "teknik olarak savunulamaz" olarak nitelendirdi. Bunun yerine belirli bir yük dizesi için global bir içerik filtresi devreye aldı. Bu filtre, saldırganların yeni varyasyonlar üretmesiyle aşılabilir nitelikte.
Yapay zeka kodlama ajanı kullanırken nasıl korunurum?
Korunmak için MCP entegrasyonlarını yalnızca gerekli servislerle sınırla, ajanın çalıştırdığı komutlara onay adımı ekle, DSN maruziyetini denetle ve ajanı izole bir ortamda en az yetkiyle çalıştır. Bu adımlar saldırı yüzeyini daraltır ancak mimari sorunu tamamen çözmez; asıl çözüm modellerin veri ile talimatı ayırt etme yeteneğine bağlı.
Agentjacking, yapay zeka ajan ekosistemi MCP entegrasyonlarıyla genişledikçe gözlem platformlarının komut-kontrol kanalına dönüşebileceğini gösteriyor. Ajan çalışma zamanı güvenliğinin önümüzdeki dönemde ne kadar öncelik kazanacağı, bu tür saldırıların yaygınlaşıp yaygınlaşmamasına bağlı olacak.
Yorumlar (0)
Yorum yapmak için giriş yapmalısınız.
Giriş Yap