Microsoft'un bulut platformu Azure üzerinde çalışan yapay zekâ projelerine yönelik yeni bir siber saldırı iddiası gündeme bomba gibi düştü. Güvenlik araştırmacıları, Claude Code, Gemini CLI ve Visual Studio Code gibi popüler yapay zekâ araçlarıyla entegre çalışan Azure projelerine zararlı yazılım enjekte edildiğini öne sürüyor. Saldırının, yapay zekâ geliştiricilerinin kullandığı ortak kütüphaneler ve bağımlılıklar üzerinden yayıldığı belirtiliyor.
Saldırı Nasıl Gerçekleşti?
İddialara göre saldırganlar, yapay zekâ geliştiricilerinin sıklıkla kullandığı açık kaynak kodlu kütüphanelere kötü amaçlı kodlar yerleştirdi. Bu kodlar, Claude Code ve Gemini CLI gibi araçların Azure ile iletişim kurarken kullandığı API çağrılarına müdahale ederek hassas verileri çalmayı hedefliyor. VS Code eklentileri aracılığıyla yayıldığı düşünülen zararlı yazılım, geliştiricilerin kimlik bilgilerini ve proje dosyalarını ele geçirebiliyor.
Azure Projeleri Risk Altında
Etkilenen projeler arasında Azure Machine Learning, Azure Cognitive Services ve Azure Bot Service üzerinde çalışan yapay zekâ uygulamaları yer alıyor. Uzmanlar, özellikle kurumsal müşterilerin kullandığı özel modellerin hedef alındığını vurguluyor. Microsoft henüz resmi bir açıklama yapmazken, güvenlik ekiplerinin durumu araştırdığı bildiriliyor.
Kullanıcılara Tavsiyeler
- VS Code eklentilerini güncelleyin ve bilinmeyen kaynaklardan eklenti yüklemeyin.
- Azure CLI ve SDK'larını en son sürüme güncelleyin.
- Projelerde kullanılan bağımlılıkları güvenlik açıklarına karşı tarayın.
- İki faktörlü kimlik doğrulama kullanımını zorunlu hale getirin.
Microsoft'tan Henüz Açıklama Yok
Redmond merkezli teknoloji devi, konuyla ilgili henüz resmi bir açıklama yapmadı. Ancak sektör kaynakları, Microsoft'un ilgili ekiplerinin saldırı vektörünü belirlemek için çalıştığını aktarıyor. Daha önce benzer sızıntı iddialarıyla karşılaşan şirket, bu kez de güvenlik protokollerini sıkılaştıracak adımlar atabilir.
Yapay Zeka Güvenliği Yeniden Gündemde
Bu olay, yapay zekâ geliştirme süreçlerinde güvenlik standartlarının ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Özellikle açık kaynak ekosistemine duyulan güvensizlik artarken, geliştiricilerin kullandıkları araçların güvenlik denetimlerini düzenli yapmaları gerekiyor. Yapay zekâ projelerinin ticari sırlar ve kişisel veriler içermesi, saldırıları daha cazip hale getiriyor.
Bağımsız güvenlik analistleri, bu tür saldırıların yalnızca bireysel geliştiricileri değil, büyük ölçekli kurumsal yapay zekâ altyapılarını da hedef alabileceğine dikkat çekiyor. Microsoft'un kısa süre içinde kapsamlı bir inceleme raporu yayınlaması bekleniyor. Gelişmeleri takip ediyor olacağız.
