Yapay zekâ destekli siber güvenlik araçlarını hedef alan “Friendly Fire” adlı yeni saldırı tekniği, güvenlik araştırmacılarının dikkatini çekti. AI Now Institute tarafından geliştirilen kavram kanıtlama (Proof of Concept) çalışması, OpenAI Codex ile Anthropic Claude Code’un belirli otomatik çalışma modlarında kötü amaçlı komutları kullanıcı onayı almadan çalıştırabildiğini ortaya koydu. Bulgular, yapay zekâ ajanlarının güvenlik amacıyla kullanıldığı ortamlarda yeni risklerin oluşabileceğini gösteriyor.

Prompt Injection Tekniği Yapay Zekâ Ajanlarını Yanıltabiliyor

Araştırmacılar, saldırının Claude Code’un “auto-mode” ile Codex’in “auto-review” modlarında varsayılan yapılandırmayla çalışabildiğini belirtiyor. Testlerde Anthropic Claude Sonnet 4.6, Sonnet 5, Opus 4.8 ile OpenAI GPT-5.5 modelleri kullanıldı. Çalışmaya göre saldırganlar, açık kaynak kodlu projelerde bulunan README veya dokümantasyon dosyalarına yerleştirdikleri istem enjeksiyonları (prompt injection) sayesinde yapay zekâ ajanlarını zararlı ikili dosyaları çalıştırmaya yönlendirebiliyor.

Araştırmada örnek olarak Python tabanlı popüler geopy kütüphanesi kullanıldı. Ancak araştırmacılar, yöntemin belirli bir projeyle sınırlı olmadığını, benzer yapıya sahip çok sayıda açık kaynak yazılım deposunda uygulanabileceğini ifade ediyor. Yapay zekâ ajanı depoda güvenlik analizi yapması istenirken dokümantasyon içerisine gizlenmiş talimatları gerçek komutlardan ayıramadığı için zararlı kodu kullanıcıdan ek onay istemeden çalıştırabiliyor.

Bu saldırı tekniği; eklenti, özel yetenek, MCP sunucusu veya ek yapılandırma dosyası gerektirmeden yalnızca istem enjeksiyonu üzerinden çalışmasıyla dikkat çekiyor. Güvenlik uzmanları, bu durumun yapay zekâ ajanlarının yalnızca kaynak kodunu değil doğal dilde yazılmış içerikleri de yürütülebilir talimat olarak değerlendirebilmesinden kaynaklandığını belirtiyor.

Uzmanlar Yapısal Risklere Karşı Uyarıyor

Salt Security CEO’su Roey Eliyahu, Friendly Fire saldırısının son aylarda ortaya çıkan GitLost, Agentjacking ile TrustFall saldırılarıyla aynı temel soruna dayandığını söyledi. Eliyahu’ya göre güvenilmeyen metinlerin komut çalıştırabilen yapay zekâ ajanlarına ulaşması, mevcut mimaride yapısal bir güvenlik problemi oluşturuyor. Aynı saldırının farklı üreticilere ait dört ayrı modelde herhangi bir değişiklik yapılmadan başarıyla uygulanabilmesi de sorunun tek bir modele özgü olmadığını gösteriyor.

Polygraf AI Yapay Zekâ Kaynağı Direktörü Eljan Mahammadli ise bulguların yapay zekânın savunma amaçlı kullanımından tamamen vazgeçilmesi gerektiği anlamına gelmediğini ifade ediyor. Mahammadli, güvenlik ekiplerinin özellikle otomatik komut çalıştırma yetkisi bulunan ajanlar için ek doğrulama katmanları oluşturmasının ve kullanıcı onayı gerektiren güvenlik politikalarını devreye almasının riski önemli ölçüde azaltabileceğini değerlendiriyor.

Araştırma, kurumların yapay zekâ tabanlı güvenlik araçlarını hızla üretim ortamlarına taşırken yeni saldırı yüzeylerini de dikkate alması gerektiğini ortaya koyuyor. OpenAI ile Anthropic ise haberin yayımlandığı tarihe kadar araştırmayla ilgili resmî bir açıklama paylaşmadı.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.