Microsoft, yapay zekâ ajanları geliştirmek için kullanılan AutoGen Studio platformunda tespit edilen kritik bir güvenlik zincirini düzeltti. AutoJack adı verilen açık dizisi, belirli koşullar altında saldırganların geliştirici sistemlerinde komut çalıştırabilmesine zemin hazırlıyordu. Şirket, sorunun yayınlanan paketlere ulaşmadan önce giderildiğini açıklarken etkilenen kitlenin yalnızca belirli bir dönemde GitHub üzerinden kaynak kodu derleyen geliştiricilerle sınırlı kaldığını belirtti.

AutoJack Zinciri Geliştirici Sistemlerinde Yetkisiz İşlemlere Kapı Aralayabildi

Microsoft tarafından paylaşılan teknik detaylar, AutoJack’in tek bir güvenlik açığından değil birbirini tamamlayan üç farklı eksiklikten oluştuğunu ortaya koydu. AutoGen Studio içerisinde yer alan MCP WebSocket bileşeni bazı yerel bağlantıları güvenilir kabul ederken kimlik doğrulama süreçlerindeki boşluklar belirli servislerin korumasız kalmasına neden oldu. Sistem ayrıca URL üzerinden iletilen bazı parametreleri yeterli denetimden geçirmediği için saldırganların PowerShell, Bash veya farklı çalıştırılabilir dosyaları tetikleyebileceği bir senaryo oluştu.

Microsoft’un örnek saldırı senaryosunda geliştiricinin yapay zekâ ajanı tarafından ziyaret edilen kötü amaçlı bir internet sayfası süreci başlatıyor. Zararlı JavaScript kodu çalıştıktan sonra yerel MCP servisiyle bağlantı kurabiliyor, ardından saldırganın belirlediği komutlar geliştirici hesabının sahip olduğu yetkilerle işletilebiliyor. Şirket, test amacıyla Windows Hesap Makinesi uygulamasının açılmasını örnek gösterdi.

GitHub üzerinde 59 binden fazla yıldız alan AutoGen projesi, çoklu yapay zekâ ajanlarının birlikte çalışmasını sağlayan açık kaynaklı bir çerçeve olarak biliniyor. Platform; API entegrasyonu, web tarama, araç kullanımı, kod yürütme ve otomasyon gibi yetenekler sunduğu için güvenlik araştırmacıları tarafından yakından takip ediliyor. Yapay zekâ ajanlarının internette gezinirken aldığı komutlar bazı durumlarda sistem seviyesinde sonuçlar doğurabildiği için erişim kontrolleri kritik önem taşıyor.

Microsoft Geliştiricilere İzole Ortam Kullanılmasını Önerdi

Microsoft’un açıklamasına göre AutoJack ile ilişkilendirilen kodlar hiçbir zaman Python Package Index (PyPI) üzerinden dağıtılan resmi sürümlere dahil edilmedi. Güncel autogenstudio 0.4.2.2 sürümünü kullanan kullanıcılar riskten etkilenmezken yalnızca belirli bir geliştirme döneminde GitHub ana dalından kurulum yapan geliştiriciler potansiyel olarak etkilenmiş oldu.

Şirket, AutoGen Studio’nun internet erişimine açık üretim sistemlerinde çalıştırılmamasını tavsiye ediyor. Microsoft ayrıca yapay zekâ ajanlarının düşük yetkili kullanıcı hesapları altında çalıştırılmasını, konteyner ortamlarının kullanılmasını ve güvenilmeyen içeriklerle etkileşim kuran ajanların ayrı sistemlerde tutulmasını öneriyor. Siber güvenlik uzmanları, yapay zekâ destekli uygulamaların yaygınlaşmasıyla birlikte geleneksel web güvenliği yaklaşımının artık tek başına yeterli olmadığını değerlendiriyor.

OpenAI, Anthropic, Google DeepMind ve Microsoft gibi şirketler ajan tabanlı yapay zekâ sistemlerine yönelik yatırımlarını artırırken güvenlik ekipleri de yeni tehdit modelleri üzerinde çalışıyor. AutoGen Studio’da ortaya çıkan olay, yapay zekâ altyapılarında kimlik doğrulama, yetkilendirme ve komut yürütme mekanizmalarının ne kadar hassas hâle geldiğini gösteren güncel örneklerden biri olarak öne çıkıyor.