Siber Güvenlik

Yapay Zeka Kod Düzenleyici Güvenliği Alarm Veriyor: Sandbox Nasıl Aşılır?

Önde gelen yapay zeka kod düzenleyici araçlarından Cursor’da tespit edilen iki kritik güvenlik açığı, geliştirici dünyasında endişe yarattı. ‘DuneSlide’ adı verilen bu kusurlar, basit bir prompt enjeksiyonu ile editörün güvenlik sandbox’ını aşarak kullanıcının bilgisayarında rastgele komutlar çalıştırma potansiyeli taşıyor.

Bu durum, herhangi bir onay veya tıklama gerektirmeyen ‘sıfır tıklama’ bir saldırı senaryosunu beraberinde getiriyor. Cato AI Labs tarafından keşfedilen ve CVE-2026-50548 ile CVE-2026-50549 olarak takip edilen bu açıklar, CVSS v3.1 ölçeğine göre 10 üzerinden 9.8, yeni CVSS 4.0 ölçeğine göre ise 9.3 gibi oldukça yüksek risk skorlarına sahip. Peki, bu denli kritik açıklar, yaygın olarak kullanılan bir geliştirme aracında nasıl gözden kaçtı ve siber güvenlik tabanını nasıl etkileyecek?

DuneSlide Açıkları: Güvenlik Duvarı Nasıl Yıkıldı?

Cursor, 2.x sürümünden itibaren yapay zeka ajanının terminal komutlarını varsayılan olarak bir sandbox içinde çalıştırma yeteneği sunar. Bu güvenlik kutusu, komutların erişebileceği kaynakları kısıtlayarak yanlış bir talimatın sistemi tahrip etmesini önlemek amacıyla tasarlanmıştır. Ancak DuneSlide açıkları, işte tam da bu kutudan kaçışı mümkün kılıyor.

Saldırı vektörü, prompt enjeksiyonu üzerinden işliyor. Saldırgan, doğrudan Cursor’unuza yazmak yerine, ajanınızın sizin adınıza okuduğu bir hizmete (Model Bağlam Protokolü – MCP aracılığıyla) veya bir web aramasının döndürdüğü sayfaya gizli talimatlar yerleştiriyor. Siz sıradan bir soru sorduğunuzda, bu gizli talimatlar da yolculuğa katılıyor ve sizden hiçbir tıklama veya onay istemediği için saldırı tamamen görünmez hale geliyor. İki kusur da aynı temel hileyi kullanır: Ajanın yazmaması gereken bir dosyayı yazmasını sağlamak ve ardından bu yazma işlemini sandbox’ı kapatmak için kullanmak — sistemin en hassas noktalarından birine gizlice sızmak.

Bu, geliştiriciler için ciddi bir güvenlik paradigması değişikliği anlamına mı geliyor? Cato AI Labs, bu sorunları 19 Şubat 2026 tarihinde Cursor

CVE-2026-50548: Yanlış Klasör İzniyle Sisteme Sızma

İlk açık olan CVE-2026-50548, Cursor’ın run_terminal_cmd aracındaki bir ayarı kötüye kullanır. Sandbox, komutun çalışma klasörüne yazma izni verir ve bu klasör, Cursor’ın run_terminal_cmd aracında isteğe bağlı bir parametre olan working_directory ile belirlenir. Problem, ajanın bu parametreyi varsayılan olmayan bir yola ayarladığında ortaya çıkıyor; Cursor, bu yolu sorgulamadan izin verilen yazma listesine ekliyor.

Enjekte edilen talimatlar, ajanı proje klasörü yerine bir sistem dosyasına yönlendiriyor. Örneğin, macOS’ta /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox gibi kritik bir güvenlik yardımcısı dosyasının üzerine yazılarak, sonraki komutların tamamen sandbox dışında çalışması sağlanabilir. Bu, bir kapıyı açık bırakmak gibidir, değil mi? Ayrıca, ~/.zshrc gibi başlangıç dosyaları da hedef olarak kullanılabilir, bu da kalıcı erişim elde etme riskini doğurur. Bu tür bir manipülasyonla, geliştiricinin makinesinin kontrolü tamamen ele geçirilebilir ve bu, sadece birkaç satır kodla olabilir.

Bu olay, yapay zeka destekli geliştirme araçlarının sunduğu kolaylıkların yanı sıra, arkasındaki güvenlik mekanizmalarının ne denli karmaşık ve kırılgan olabileceğini net bir şekilde gözler önüne seriyor. İnsan faktörünün yanı sıra, yapay zeka ajanlarının çalışma prensipleri ve etkileşimleri de sürekli denetim altında olmalı.

CVE-2026-50549: Sembolik Bağlantılar Üzerinden Gizli Yol

İkinci açık, CVE-2026-50549, bir güvenlik kontrolünü atlama üzerine kurulu. Cursor, yazma işlemi yapmadan önce kısayolları (sembolik bağlantıları) çözerek gerçek hedefin proje içinde olup olmadığını doğrular. Ancak hata, bu kontrolün başarısız olduğu durumlardaki yedek mekanizmada yatıyor. Hedefin mevcut olmaması veya saldırganın yoldaki bir klasörden okuma erişimini kaldırması durumunda, Cursor bu kontrolü bırakıp kısayolun proje içi yoluna güveniyor.

Saldırgan, projenin dışına işaret eden bir kısayol oluşturup bu kontrolü başarısız olmaya zorladığında, Cursor doğrudan bu kısayol üzerinden aynı sandbox yardımcısı dosyasına yazabiliyor. Aynı kaçış, ancak farklı bir kapıdan. Bu, bir güvenlik kapısını atlamak için anahtarı değil, kapının kilidini kandırmakla eşdeğer. Her iki açık da temel olarak sandbox’ı etkisiz hale getirme ve ardından sisteme tam erişim sağlama amacı taşıyor. Sandbox devre dışı bırakıldığında, bir sonraki komut geliştiricinin ayrıcalıklarıyla çalışır. Bu da geliştiricinin makinesinin, ayrıca editörün bağlı olduğu tüm bulut veya SaaS çalışma alanlarının kontrolünün ele geçirilmesi anlamına gelir. Tek bir zararsız görünen prompt, tüm bu felaket senaryosunu tetikleyebilir mi?

Geliştiriciler İçin Acil Eylem Planı: Şimdi Ne Yapmalı?

Cursor’daki bu kritik açıklar, yapay zeka destekli geliştirme ortamlarının karmaşıklığı ve beraberindeki güvenlik riskleri hakkında önemli dersler sunuyor. Özellikle yapay zeka kod düzenleyici gibi araçların popülaritesi arttıkça, bu tür tehditlerin sayısı ve sofistikasyonu da yükseliyor. Neyse ki, bu açıklar henüz aktif saldırılarda kullanılmamış gibi görünüyor; Cato AI Labs, bulgularını aktif bir kampanya yerine araştırma olarak sunuyor.

Eğer bir Cursor kullanıcısıysanız, vakit kaybetmeden yazılımınızı en son sürüm olan Cursor 3.0’a güncellemeniz hayati önem taşıyor. Güncelleme işlemi genellikle basittir ve güvenlik açıklarına karşı korunmanın en etkili yoludur. Kurumsal ortamlarda ise BT ve güvenlik ekiplerinin, tüm geliştirme istasyonlarındaki Cursor sürümlerini kontrol etmesi ve acil olarak güncelleme politikalarını uygulaması şarttır. Türkiye’deki geliştirme ekipleri için de bu durum geçerli; yerel projelerde kullanılan araçların güncel ve güvenli olduğundan emin olmak, ulusal siber güvenlik direnci açısından büyük önem taşıyor.

Bu olay, yazılım geliştirme süreçlerinde kullanılan her aracın, özellikle yapay zeka tabanlı olanların, düzenli güvenlik denetimlerinden geçmesi ve kullanıcıların her zaman en son güvenlik yamalarını uygulaması gerektiğini bir kez daha hatırlatıyor. Gelecekte, prompt enjeksiyonu gibi saldırı vektörlerinin daha da yaygınlaşacağı düşünüldüğünde, geliştiricilerin sadece yazdıkları koda değil, kullandıkları araçlara da aynı titizlikle yaklaşması gerekecek. Aksi takdirde, en güvenli görünen ortamlar bile beklenmedik tehditlere kapı aralayabilir.

Sık Sorulan Sorular

Prompt enjeksiyonu nedir ve nasıl çalışır?

Prompt enjeksiyonu, bir yapay zeka modeline normal kullanıcı girdisi gibi görünen ancak kötü niyetli gizli talimatlar içeren veriler göndererek modelin istenmeyen eylemler gerçekleştirmesini sağlayan bir saldırı tekniğidir.

Kod düzenleyicilerdeki 'sandbox' ne işe yarar?

Sandbox, bir uygulamanın veya kodun sınırlı bir ortamda çalıştırılmasını sağlayan bir güvenlik mekanizmasıdır. Bu, kötü amaçlı kodun sistemin geri kalanına zarar vermesini veya hassas verilere erişmesini engeller.

Yapay zeka destekli geliştirme araçlarında güvenlik neden bu kadar önemli?

Yapay zeka araçları, geliştirme süreçlerini hızlandırırken, aynı zamanda karmaşık yeni saldırı vektörleri oluşturabilir. Bu araçlar genellikle hassas sistem erişimlerine sahip olduğundan, güvenlik açıkları büyük risk taşır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu