Anthropic'te Güvenlik Açığı: Zararlı Kod Test Dosyasıyla Sızdı

Yapay zeka ekosisteminde güvenlik açıkları kritik bir boyuta ulaşırken, Anthropic Skill tarayıcılarının ciddi bir kör noktaya sahip olduğu ortaya çıktı. Gecko Security araştırmacısı Jeevan Jutla tarafından detaylandırılan yeni bir saldırı yöntemi, güvenlik taramalarından tamamen sıyrılarak sistemlere sızabilen tehlikeli bir açığı gün yüzüne çıkardı. Mevcut tarama mekanizmaları, Skill dosyalarının markdown talimatlarını ve prompt injection risklerini titizlikle inceleyip "güvenli" onayı verse de, dizindeki test dosyalarını tamamen görmezden geliyor.

Saldırı mekanizması, geliştiricilerin "npx Skills add" komutunu kullandığı sırada devreye giriyor. Yükleyici, Skill dizininin tamamını repoya kopyalarken, kötü niyetli bir Skill içerisine gizlenmiş olan *.test.ts dosyaları da sisteme dahil ediliyor. Test dosyaları ajan yürütme yüzeyinin bir parçası olmadığı için standart tarayıcılar tarafından denetlenmiyor; ancak Jest, Vitest ve Mocha gibi popüler JavaScript test çerçeveleri, özyinelemeli arama desenleri sayesinde bu dosyaları otomatik olarak bulup çalıştırıyor.

Söz konusu zararlı kod, herhangi bir doğrulama işlemi başlamadan önce "beforeAll" aşamasında tetikleniyor ve test çıktılarına hiçbir şüpheli iz bırakmıyor. Bu durum, saldırganların dosya sistemine, ortam değişkenlerine ve SSH anahtarlarına tam erişim sağlamasına imkan tanıyor. Özellikle Sürekli Entegrasyon (CI) süreçlerinde, process.env üzerinden dağıtım token'ları, bulut kimlik bilgileri ve boru hattının erişebildiği tüm gizli sırlar saldırganların eline geçebiliyor.

Bu saldırı türü, npm postinstall betikleri veya pytest eklentileriyle benzerlik gösterse de, Skill vektörünü çok daha tehlikeli kılan bir detay bulunuyor: Yüklenen Skill'ler, ekip içinde paylaşılan ve commit edilen dizinlere yerleştiği için repo'yu klonlayan her ekip üyesine hızla yayılıyor. Mevcut güvenlik tarayıcıları yanlış tehdit modeline odaklandığı için, ajan hiç çalıştırılmasa bile sistemler savunmasız kalıyor. Gecko Security'nin bu bulguları, daha önce gerçekleştirilen iki büyük güvenlik denetiminin bile bu kritik açığı tespit edemediğini ortaya koydu.