Microsoft araştırmacıları, yapay zeka ajanlarını hedef alan ve "AutoJack" adını verdikleri yeni bir saldırı zincirini kamuoyuyla paylaştı. Araştırmaya göre saldırganlar, yalnızca kötü niyetli bir web sayfası aracılığıyla bir AI ajanını kullanarak hedef sistem üzerinde komut çalıştırabiliyor.
Geleneksel web saldırılarında saldırganın kullanıcıyı kandırması, kimlik bilgilerini ele geçirmesi veya ek bir etkileşim sağlaması gerekirken AutoJack senaryosunda saldırganın yapması gereken tek şey, AI ajanını kontrol ettiği bir web sayfasını ziyaret etmeye ikna etmek.
Araştırmacılara göre saldırı, Microsoft Research tarafından geliştirilen açık kaynaklı çok ajanlı framework AutoGen'in prototipleme arayüzü olan AutoGen Studio'da tespit edildi.
Saldırı Nasıl Çalışıyor?
AutoJack aslında tek bir güvenlik açığından değil, üç farklı tasarım hatasının birleşiminden oluşuyor.
İlk problem, sistemin localhost üzerinden gelen bağlantıları güvenilir kabul etmesi. Geliştiriciler tarafından güvenlik kontrolü olarak tasarlanan bu mekanizma, aynı makinede çalışan AI ajanlarının ziyaret ettiği web sayfaları tarafından da kullanılabiliyor.
İkinci problem ise MCP (Model Context Protocol) WebSocket servisindeki kimlik doğrulama eksikliği. Araştırmacılar, ilgili uç noktanın bağlantı kuran istemcileri doğrulamadığını ve yetkisiz erişime izin verdiğini belirtiyor.
Son aşamada ise servis tarafından alınan parametreler yeterli filtreleme yapılmadan işletim sistemi komutlarına aktarılıyor. Bu durum saldırganın kendi belirlediği komutları çalıştırabilmesine olanak tanıyor.
Bu üç zafiyet bir araya geldiğinde, saldırgan tarafından hazırlanan bir web sayfası AI ajanı tarafından ziyaret edildiği anda hedef sistem üzerinde komut çalıştırılabiliyor.
Microsoft Ne Diyor?
Microsoft, AutoJack'in gerçek dünyada aktif olarak kullanıldığına dair herhangi bir kanıt bulunmadığını açıkladı. Şirket, araştırmanın güvenlik risklerini göstermek amacıyla gerçekleştirildiğini belirtiyor.
Hazırlanan kavram kanıtı (PoC) senaryosunda araştırmacılar, saldırgan URL'sini ziyaret eden bir "Web Content Summarizer" ajanı üzerinden Windows'un calc.exe uygulamasını çalıştırmayı başardı.
Araştırmacılar ayrıca güvenlik açığının AutoGen Studio'nun kararlı PyPI sürümünde bulunmadığını vurguluyor. Sorun yalnızca 0.4.3.dev1 ve 0.4.3.dev2 ön sürümlerini etkiliyor. Gerekli düzeltmeler GitHub'ta yayımlanmış durumda.
Asıl Tehlike AutoGen Değil
AutoJack'in en dikkat çekici yönü, belirli bir üründeki hatadan çok daha büyük bir soruna işaret etmesi.
Modern AI ajanları yalnızca metin üretmiyor. Web sitelerini ziyaret ediyor, dosya sistemlerine erişiyor, yerel araçları kullanıyor ve çeşitli servislerle iletişim kuruyor. Bu durum ajanları klasik uygulamalardan farklı bir tehdit modelinin parçası haline getiriyor.
Microsoft araştırmacılarına göre benzer mimari yaklaşımlara sahip diğer ajan platformlarında da aynı tür güvenlik riskleri ortaya çıkabilir.
AI Güvenliği İçin Çıkarılması Gereken Dersler
AutoJack, yapay zeka güvenliğinde yeni bir gerçeği gözler önüne seriyor: localhost artık tek başına bir güven sınırı olarak kabul edilemez.
Bir AI ajanı internette gezinebiliyor ve aynı zamanda ayrıcalıklı yerel servislerle iletişim kurabiliyorsa, saldırganlar bu güven ilişkisini kendi lehlerine çevirebilir.
Uzmanlar, AI ajanlarının düşük yetkili hesaplarla çalıştırılmasını, yerel servislerde güçlü kimlik doğrulama mekanizmalarının kullanılmasını ve komut çalıştırma yetkilerinin sıkı şekilde sınırlandırılmasını öneriyor.
AI ajanlarının kurumsal ortamlarda daha yaygın kullanılmaya başlanmasıyla birlikte AutoJack benzeri saldırıların önümüzdeki dönemde AI güvenliği alanında daha sık gündeme gelmesi bekleniyor.
