
Yapay zekâ destekli yazılım geliştirme araçlarını hedef alan yeni bir saldırı tekniği ortaya çıkarıldı. Ghostcommit adı verilen yöntem, zararlı komutları bir PNG görselinin içine gizleyerek yapay zekâ kod inceleme araçlarının güvenlik kontrollerini aşabiliyor. Araştırmacılar, hazırladıkları kavram kanıtı (PoC) ile saldırının kaynak kod deposundaki gizli bilgileri dışarı sızdırabildiğini gösterdi.
Görsel Dosyasındaki Komutlar Kod İncelemesinden Kaçabiliyor
Missouri-Kansas City Üniversitesi’ndeki ASSET Research Group araştırmacıları Sudipta Chattopadhyay ile Murali Ediga tarafından geliştirilen Ghostcommit tekniği, klasik prompt injection saldırılarından farklı bir yaklaşım izliyor. Araştırmacılar, GitHub üzerinden paylaşılan örnek senaryoda zararlı komutları doğrudan metin dosyalarına değil, geliştiricilerin dikkatini çekmeyen bir PNG görseline yerleştirdi.

Saldırı senaryosunda kaynak kod deposuna eklenen AGENTS.md dosyası, ilk bakışta sıradan geliştirme kurallarını içeriyor gibi görünüyor. Ancak dosya, yapay zekâ ajanını belirli bir görsele yönlendiriyor. Kod inceleme araçları ikili (binary) dosya olarak değerlendirdiği için resmi analiz etmiyor. Yapay zekâ destekli kod yazma aracı ise görseli okuyarak içine yerleştirilen talimatları uyguluyor.
Araştırmacılar, senaryoda yapay zekâ ajanından .env dosyasındaki gizli anahtarları tek tek okumasını, bunları sayısal değerlere dönüştürmesini ve oluşturduğu yeni kaynak koduna masum görünen sabit değişkenler şeklinde eklemesini istedi. Böylece hassas bilgiler doğrudan metin olarak görünmediği için geleneksel gizli bilgi tarama sistemleri de sızıntıyı tespit edemedi.
Araçlar Arasında Güvenlik Farklılıkları Ortaya Çıktı
Araştırma sırasında farklı yapay zekâ geliştirme platformları da test edildi. Sonuçlara göre Cursor ve Antigravity gibi araçlar, farklı büyük dil modelleri kullanmalarına rağmen görseldeki talimatları yerine getirerek gizli verileri dışarı aktardı. Buna karşılık Claude Code aynı senaryoda talimatları reddetti ve gizli dosyalara erişmeyi kabul etmedi. Bulgular, güvenlik seviyesini yalnızca kullanılan modelin değil, modeli yöneten geliştirme platformunun da belirlediğini gösteriyor.

Araştırmacılar ayrıca son 90 günde GitHub’daki en aktif 300 açık kaynak projesinde yer alan 6 bin 480 pull request’i inceledi. Analize göre birleştirilen değişikliklerin yüzde 73’ü anlamlı bir insan incelemesi veya otomatik bot kontrolü olmadan varsayılan dala aktarıldı. Bu durum, özellikle yapay zekâ destekli geliştirme süreçlerinde saldırganların kötü amaçlı değişiklikleri daha kolay gizleyebilmesine zemin hazırlıyor.
Yeni Savunma Katmanı Görselleri de Analiz Ediyor
Ghostcommit’in ortaya çıkardığı en önemli sorunlardan biri, mevcut kod inceleme araçlarının görsel dosyaları güvenlik açısından değerlendirmemesi oldu. Araştırmacılar bu açığı kapatmak amacıyla GitHub uygulaması olarak çalışan çok modlu bir inceleme sistemi de geliştirdi. Yeni çözüm, görünmez karakterlerin yanı sıra kod yapısını, AGENTS.md gibi yönerge dosyalarını ve en önemlisi depoya eklenen görselleri büyük dil modeli yardımıyla analiz ediyor.
Araştırmacılar, geliştirdikleri savunma mekanizmasını daha önce görmediği 80 farklı pull request üzerinde test etti. Sonuçlara göre sistem, görseller üzerinden gerçekleştirilen saldırıların tamamına yakınını tespit ederken meşru değişikliklerde yanlış alarm üretmedi. Uzmanlara göre yapay zekâ ajanlarının yazılım geliştirme süreçlerinde daha yaygın kullanılmaya başlamasıyla birlikte yalnızca kaynak kodunun değil, görseller ve diğer ek dosyaların da güvenlik incelemesine dâhil edilmesi kritik önem taşıyacak.




