Claude Code GitHub Eylemindeki Gizli Tehlike: Tek Bir Açıklama, Tüm Yapay Zeka Güvenliğini Nasıl Sarstı

Bir saldırı birkaç basit adımda gerçekleşebiliyordu:

1. Bir saldırgan, Claude Code GitHub Action'ını kullanan herkese açık bir depoda zararsız görünen bir talep (issue) veya çekme isteği (PR) açar.
2. Talebin gövdesi veya bir HTML yorumu, sayfayı tarayan bir insan tarafından görülemeyen ancak yapay zeka ajanı tarafından okunabilen talimatlar içerir.
3. İş akışı tetiklendiğinde, yapay zeka modeli bu içeriği bağlamının bir parçası olarak işler ve gömülü talimatları izleyerek /proc/self/environ dosyasını okur .
4. Model daha sonra, örneğin veriyi bir yoruma göndermek suretiyle dışarı sızdırması için yönlendirilebilir. Araştırmacılar, saldırganların otomatik sır tarayıcılarına yakalanmamak için ANTHROPIC_API_KEY'in başındaki yedi karakteri (sk-ant-) sildiği daha rafine bir yöntem de kaydetti .

Doğal dil talimatlarının veriye enjekte edilerek çalıştırılabilir komutlara dönüştüğü bu saldırı yüzeyi, yani prompt enjeksiyonu, yapay zeka ajanları için güvenlik dünyasını hızla yeniden tanımlıyor.

Önce Yama, Sonra Açıklama: Kronoloji

Bu olayın kritik bir detayı, koordineli bir ifşa süreci olması ve düzeltmenin önce gelmesidir.

• 5 Mayıs 2026: Anthropic, Claude Code 2.1.128 sürümünü yayınlayarak, Read aracının korumalı alanını diğer yürütme yollarına uygulanan ortam temizliğiyle uyumlu hale getirdi ve açığı kapattı .
• 5 Haziran 2026: Microsoft, bu vakayı tüm sektör için acil güvenlik önerileri sunmak amacıyla kullanarak detaylı tehdit analizini yayınladı .

Bir Hatadan Fazlası: Otonom Yapay Zeka Sistemlerinin Yedi Yeni Başarısızlık Yolu

Claude Code ifşası, çok daha kapsamlı bir güvenlik değerlendirmesinin hemen ardından geldi. Bir gün önce, 4 Haziran 2026'da, Microsoft'un Yapay Zeka Kırmızı Takımı, Otonom Yapay Zeka Sistemlerinde Hata Modları Taksonomisi belgesinin 2.0 sürümünü yayınladı . Gerçek dünyadaki kırmızı takım çalışmalarından elde edilen on iki aylık deneyime dayanan bu büyük güncelleme, tek bir kod yürütme hatasının çok ötesine geçen yepyeni yedi başarısızlık kategorisi ekledi.

Bu yeni hata modları, güvenlik araştırmacılarının otonom yapay zeka sistemleri hakkındaki düşünce biçiminde ciddi bir sıçamayı temsil ediyor:

1. Otonom Tedarik Zinciri Saldırısı: Geleneksel yazılım tedarik zinciri saldırılarının aksine, burada tehlikeye atılan eklentiler, MCP sunucuları veya prompt şablonları üzerinden doğal dil talimatları enjekte edilerek ajanın davranışı, kod tarayıcılarını tetiklemeden değiştirilir .
2. Hedef Kaçırma: Bir saldırgan, meşru bir görevi tamamlamaya yardımcı oluyormuş gibi görünen ancak ajanın nihai hedefini sessizce saptıran talimatlar hazırlar. Ajan yazılımsal olarak ele geçirilmemiştir, ancak saldırganın amacı doğrultusunda silahlandırılmıştır .
3. Ajanlar Arası Güven Yükseltme: Çoklu ajan sistemlerinde, ele geçirilmiş bir ajan, bağımsız doğrulama yapmayan merkezi bir orkestratöre daha yüksek bir güven kimliği veya abartılı izinler iddia edebilir. Bu, klasik "şaşkın vekil (confused deputy)" sorununun doğal dil versiyonudur .
4. Bilgisayar Kullanan Ajana Görsel Saldırı: Grafik arayüzleri kullanan ajanlar, bir insanın kolayca fark edemeyeceği görsel bilgilerle manipüle edilebilir: gizli metinler, ekran dışı UI öğeleri veya prompt enjeksiyon yükü içeren resimler gibi .
5. Oturum Bağlamı Bulaşması: Bir saldırganın, uzun ve çok adımlı bir ajan oturumunun erken aşamalarında önyargılı veya kötü niyetli bilgiler sunduğu sinsi bir saldırıdır. Bu veri, hiçbir adımda bir güvenlik kontrolünü tetiklemeyebilir, ancak sonraki ve görünüşte bağlantısız bir eylemde ajanın muhakemesini bozar .
6. MCP / Eklenti Suistimali: Ajan yeteneklerini genişletmenin standart yolu haline gelen Model Bağlam Protokolü (MCP) ve eklenti mimarilerine özgü saldırı yüzeylerine güncellenmiş bir odaklanma .
7. Yetenek / Mimari İfşası: Ajanın kendisi, araç şemaları, bellek arayüzleri veya insan onayını tetikleyen mantık gibi hassas dahili tasarım detaylarını sızdırmaya zorlanabilir. Bu, bir saldırgana gelecekteki daha isabetli saldırılar için bir plan sunar .

Bu genişletilmiş taksonomi, çerçeveyi orijinal 27 hata modundan 34'e çıkararak, otonom sistemlerin artan karmaşıklığını ve gerçek dünyadaki yaygınlığını yansıtıyor .

Otonom Bir Dünyada CI/CD'yi Güçlendirmek

Microsoft, Claude Code vakası ve kapsamlı taksonomi güncellemesine yanıt olarak, yapı taşı süreçlerine yapay zeka ajanlarını entegre eden tüm ekipler için bir dizi güvenlik önerisi yayınladı. Rehber, kısmi izolasyonun sahte bir güven hissi yarattığını vurguluyor.

• Tüm Güvenilmeyen İçeriği Bir Enjeksiyon Vektörü Olarak Kabul Edin: Harici katkıda bulunanlardan gelen talepler, PR'lar veya yorumlar üzerinde bir yapay zeka ajanı iş akışını asla otomatik olarak çalıştırmayın. Bu içerik, potansiyel olarak düşmanca bir girdi olarak ele alınmalıdır .
• Araçları Tutarlı Şekilde İzole Edin: Korumalı Bash aracı ile korumasız Read aracı arasındaki fark, ortam temizliğinin tekdüze bir şekilde uygulanması gerektiğini göstermiştir. Tek bir korumasız araç, tüm iş akışını tehlikeye atabilir .
• En Az Yetki Prensibini Uygulayın: Ajanın kendi API anahtarları ve erişim belirteçleri, maruz kalmaları durumunda hasarı sınırlamak için mümkün olan en dar kapsama sahip olmalıdır. Mümkün olduğunda, kısa ömürlü ve amaca özel kimlik bilgileri için OIDC kullanın .
• Döngüdeki İnsan Deneyimini Denetleyin: İnsan incelemesine dayanan güvenlik kontrolleri, saldırı yükü, incelemecinin asla görmediği ham Markdown veya HTML yorumlarında gizliyse başarısız olabilir. İnsan onay adımı, yalnızca onay için neyin görünür kılındığı kadar güçlüdür .
• Ajan Tedarik Zincirini Envanterleyin: Ekipler, artık geleneksel yazılımlar için standart olan tedarik zinciri görünürlüğünü yansıtarak, konuşlandırılan her ajan için bir yazılım malzeme listesi (SBOM) oluşturmalıdır .

Bu rehberin içine işlemiş temel bir mimari prensip, güvenlik camiasının "İki Kuralı" (Rule of Two) olarak adlandırdığı kavramdır. Meta'nın Ekim 2025'te pratik ajan güvenliği için yayınladığı çerçeveden kaynaklanan kural, bir ajanın şu üç koşuldan en fazla ikisini karşılaması gerektiğini belirtir: güvenilmez girdileri işlemek, hassas verilere erişime sahip olmak ve harici durumu değiştiren eylemler gerçekleştirme yeteneğine sahip olmak . Claude Code güvenlik açığı, ajanın aynı anda güvenilmeyen bir PR'dan gelen girdiyi işlemesi ve güçlü kimlik bilgilerine sahip olması nedeniyle bu prensibin klasik bir ihlaliydi.