Bilgisayar Korsanı, Amazon Q'ya Dosyaları ve Bulut Verilerini Silme İstemi Ekledi
Amazon'un VS Code ile entegre yapay zeka kodlama asistanı 'Q' ile ilgili bir güvenlik açığı yakın zamanda ortaya çıktı. 404 Media tarafından bildirilen olay, Amazon'un güvenlik protokollerinde bir açığı ortaya çıkardı ve bir bilgisayar korsanının, halka açık olarak yayınlanan bir güncellemeye kötü amaçlı komutlar eklemesine olanak sağladı.
Geçici bir GitHub hesabı kullanan bilgisayar korsanı, kendisine yönetici erişimi sağlayan bir çekme isteği göndermeyi başardı. Bu yetkisiz güncellemeye, yapay zeka asistanına kullanıcı dosyalarını silme ve Amazon Web Services (AWS) ortamlarını temizleme talimatı veren yıkıcı talimatlar eklendi.
Bu komutların ciddi doğasına rağmen, eylemleri /tmp/CLEANER.LOG adlı bir dosyaya kaydetmeyi amaçladıkları halde, Amazon'un bunları birleştirdiği ve ihlal edilmiş sürümü tespit edilmeden yayınladığı bildirildi.
Şirket daha sonra hatalı güncellemeyi herhangi bir kamu duyurusu yapmadan kayıtlarından kaldırdı ve bu durum şeffaflık konusunda soru işaretlerine yol açtı. The Duckbill Group Baş Bulut Ekonomisti Corey Quinn, bu olay sonrasında Amazon'un "güvenlik bizim en büyük önceliğimizdir" açıklamasına şüpheyle yaklaştığını dile getirdi.
Quinn, LinkedIn'deki paylaşımında , "Güvenlik en önemli öncelik olduğunda durum buysa, ikinci sıraya konduğunda neler olacağını görmek için sabırsızlanıyorum" ifadelerini kullandı.
Sorunun özü, bilgisayar korsanının açık kaynaklı bir çekme isteğini nasıl manipüle ettiğiyle ilgili. Bunu yaparak, Amazon'un Q kodlama asistanına komutlar enjekte etmeyi başardılar. Bu talimatların doğrudan kullanıcı etkileşimi olmadan otomatik olarak yürütülmesi pek olası olmasa da, olay, yapay zeka ajanlarının sistem düzeyindeki saldırılar için nasıl sessiz taşıyıcılar haline gelebileceğini kritik bir şekilde ortaya koydu .
Üretim sistemlerine entegre edilen kodlar, özellikle de yapay zeka destekli araçlar için doğrulama sürecinde bir boşluk olduğunu vurguladı. Kötü amaçlı kod, yapay zekanın yeteneklerini kullanarak kullanıcının sistemi ve bulut kaynakları üzerinde yıkıcı eylemler gerçekleştirmeyi amaçlıyordu.
Dün Amazon Q ile yaşanan olay, yapay zeka ajanlarına nasıl saldırılabileceğine dair bir uyarı niteliğindeydi. PromptKit benzer sorunları çözmeye ve bunların tekrar yaşanmasını engellemeye çalışıyor.
yazının tamamını oku👇 https://t.co/atOWfilWFq
Bu tür güvenlik açıklarına yanıt olarak Jozu, "PromptKit" adlı yeni bir araç yayınladı. Tek bir komutla erişilebilen bu sistem, OpenAI uyumlu trafiği kaydetmek için yerel bir ters proxy sunuyor ve istemleri keşfetmek, etiketlemek, karşılaştırmak ve yayınlamak için bir komut satırı arayüzü (CLI) ve metin tabanlı kullanıcı arayüzü (TUI) sağlıyor.
Jozu, X.com'da PromptKit'in, üretken yapay zekaya olan bağımlılığın artmasıyla birlikte sistemik bir riski ele alan, denetlenebilir ve üretim açısından güvenli bir istem yönetimi sağlamayı amaçlayan, yerel olarak ilk kez geliştirilen, açık kaynaklı bir araç olduğunu duyurdu .
Bugün, LLM istemi etkileşimlerini yakalamak, incelemek ve yönetmek için yerel öncelikli bir araç olan Jozu PromptKit'in ilk sürümünü yayınlıyoruz. Bu araç, üretimde doğrulanmış, denetlenebilir istem ürünleri için politika kontrollü iş akışları sağlar.
Ücretsiz denenebilir ve açık kaynaklıdır. pic.twitter.com/0Up4mc1Vy9
- Jozu (@Jozu_AI) 24 Temmuz 2025
Jozu CTO'su Görkem Ercan, Hackread.com'a yaptığı açıklamada, PromptKit'in anında deneme ve dağıtım arasındaki boşluğu kapatmak için tasarlandığını söyledi. Politika kontrollü bir iş akışı oluşturarak, AWS'yi etkileyen ham, doğrulanmamış metinlerin aksine, yalnızca doğrulanmış ve denetlenmiş anında verilerin üretime ulaşmasını sağlıyor.
Ercan, bu aracın başarısız insan doğrulama sürecini, sıkı, politika ve imzalama tabanlı bir iş akışıyla değiştireceğini ve kötü niyetli girişimleri daha yayına girmeden yakalayacağını vurguladı.
HackRead
