Tek Komutla Felaket: Açık Kaynak Kodlu Repolar AI Tehdidi Altında

Hong Kong Üniversitesi Data Intelligence Lab araştırmacıları tarafından henüz iki ay önce tanıtılan CLI-Anything, herhangi bir depo kaynak kodunu analiz ederek yapay zeka kodlama ajanlarının tek bir komutla çalıştırabileceği yapılandırılmış bir komut satırı arayüzü (CLI) oluşturabiliyor. Claude Code, Codex, OpenClaw, Cursor ve GitHub Copilot CLI gibi popüler araçları destekleyen platform, Mart ayındaki lansmanından bu yana GitHub'da 30.000'den fazla yıldız alarak hızla popülerleşti. Ancak yazılım ajanları için sunduğu bu kolaylık, beraberinde "ajan düzeyinde zehirleme" (agent-level poisoning) adı verilen ciddi bir güvenlik açığını da getiriyor.

Siber saldırı toplulukları, X ve çeşitli güvenlik forumlarında CLI-Anything'in mimarisini saldırı stratejilerine dönüştürmeye başladı bile. Sorun doğrudan aracın işlevselliğinden ziyade, temsil ettiği yapısal riskten kaynaklanıyor. CLI-Anything, "SKILL.md" dosyaları üretiyor; ancak Snyk'in ToxicSkills araştırması, Şubat 2026'da ClawHub ve skills.sh üzerinde bu talimat katmanı dosyalarına gizlenmiş 76 onaylanmış kötü amaçlı yük tespit etti. Zehirlenmiş bir yetenek tanımı, geleneksel CVE kayıtlarını tetiklemiyor ve Yazılım Malzeme Listesi'nde (SBOM) görünmüyor.

Günümüzde ana akım güvenlik tarayıcılarının hiçbiri, ajan yetenek tanımlarına gömülmüş kötü amaçlı talimatları tespit edebilecek bir kategoriye sahip değil, çünkü böyle bir tehdit kategorisi henüz on sekiz ay önce mevcut değildi. Cisco, Nisan ayında yayınladığı bir blog yazısında bu boşluğu doğrulayarak, IDE'ler için geliştirdikleri Yapay Zeka Ajan Güvenlik Tarayıcısı'nı duyurdu. Cisco mühendisleri, geleneksel uygulama güvenliği araçlarının bu yapı için tasarlanmadığını; SAST tarayıcılarının kaynak kod sözdizimini, SCA araçlarının ise bağımlılık versiyonlarını kontrol ettiğini, ancak hiçbirinin Model Bağlam Protokolü (MCP) araç tanımları ve ajan istemleri gibi anlamsal katmanları anlamadığını belirtti.

Enkrypt AI CSO'su ve eski AWS Başkan Yardımcısı CISO'su Merritt Baer, VentureBeat'e verdiği özel röportajda durumu özetleyerek, SAST ve SCA araçlarının kodlar ve bağımlılıklar için inşa edildiğini, ancak talimat katmanlarını denetleme yeteneğinin olmadığını vurguladı.