Copilot YOLO Moduyla Uzak Kod Çalıştırma Açığı

GitHub Copilot ve VS Code’da prompt enjeksiyonla tam sistem ele geçirilmesi mümkündür.

Sorun, projedeki .vscode/settings.json dosyasına “chat.tools.autoApprove": true ekleyerek Copilot’u YOLO moduna almaktan kaynaklanır.

YOLO modu kullanıcı onayı gerektirmeden kabuk komutları ve web gezintisi yapmaya izin verir.

İstismar zinciri, görünmez metin de dahil çeşitli içeriklerle prompt enjeksiyon yaparak başlangıç alır.

Başarılı istismar geliştiricinin makinesinde Uzaktan Kod Çalıştırma ve botnete katılma imkanı sunar.

Microsoft, Haziran 2025’te bildirilen açığı Ağustos Yaması ile kapatmıştır.

Get notified when new stories are published for "Hacker News 🇹🇷 Türkçe"

No Sign-In needed. One-Click Subscribe.

•

Hacker News 🇹🇷 Türkçe•August 13, 2025 at 01:06 AM

GitHub Copilot ve VS Code’da prompt enjeksiyonla tam sistem ele geçirilmesi mümkündür.

Sorun, projedeki .vscode/settings.json dosyasına “chat.tools.autoApprove": true ekleyerek Copilot’u YOLO moduna almaktan kaynaklanır.

YOLO modu kullanıcı onayı gerektirmeden kabuk komutları ve web gezintisi yapmaya izin verir.

İstismar zinciri, görünmez metin de dahil çeşitli içeriklerle prompt enjeksiyon yaparak başlangıç alır.

Başarılı istismar geliştiricinin makinesinde Uzaktan Kod Çalıştırma ve botnete katılma imkanı sunar.

Microsoft, Haziran 2025’te bildirilen açığı Ağustos Yaması ile kapatmıştır.

Get notified when new stories are published for "Hacker News 🇹🇷 Türkçe"

No Sign-In needed. One-Click Subscribe.