LLM’ler ve yazılım geliştirme ajanları saldırı yüzeyini radikal biçimde genişleterek yeni güvenlik açıkları oluşturuyor.
Prompt enjeksiyonu saldırıları ve ajanların yüksek yetkileri, kötü niyetli girdilerin sistemde zararlı kod çalıştırmasına yol açabiliyor.
Nvidia araştırmacıları, beyaz boşlukta gizlenmiş veya ASCII smuggling ile saklanmış istemlerle kodlama ajanlarını uzaktan komut almaya zorlayan sulama deliği saldırılarını gösterdi.
Cursor gibi araçların Otomatik Çalıştır modunun açık olması, geliştiricinin onayı olmadan zararlı kodun sistemde yürütülmesine imkân tanıyor.
Nathan Hamiel ve Nils Amiet, CodeRabbit adlı araçta yapılandırma dosyası üzerinden RCE açığı keşfederek milyonlarca GitHub deposuna yazma ve özel anahtarları ele geçirme potansiyeli gösterdiler.
Pek çok satıcı, bulunan güvenlik açıklarına tepki vermeyerek ürünlerini hâlâ savunmasız bırakıyor.
Etkili savunma için ajanlara tanınan özerklik azaltılmalı, izinler kısıtlanmalı ve girdiler ile çıktılar saldırı tespiti için izlenmeli.
En güvenli yaklaşım, yüksek riskli senaryolarda LLM tabanlı kodlama ajanı kullanımından kaçınmaktır.
Get notified when new stories are published for "Hacker News 🇹🇷 Türkçe"