Yapay zekanın yönettiği ilk siber casusluk operasyonu engellendi

 (anthropic.com)
3 puan yazan GN⁺ 2025-11-15 | 2 yorum | WhatsApp'ta paylaş
  • Doğrudan bir AI modelinin yürüttüğü büyük ölçekli bir siber casusluk operasyonu tespit edilip engellendi
  • Saldırganlar Claude Code'u manipüle ederek yaklaşık 30 küresel kurumu hedef aldı ve bazı durumlarda başarı sağladı
  • Saldırı sürecinin %80-90'ı AI tarafından otomatik olarak yürütüldü ve insan müdahalesi son derece sınırlı kaldı
  • AI'nin zeka, özerklik ve araç erişimi birleşerek gelişmiş bir saldırı yapısı oluşturdu
  • Bu olay, AI çağında siber güvenliğin dönüm noktası olarak savunma sistemlerinin otomasyonu ve tehdit paylaşımının önemini öne çıkarıyor

AI tabanlı siber casusluk operasyonunun tespiti ve engellenmesi

  • 2025 Eylül ortasında gelişmiş bir casusluk faaliyeti tespit edildi ve soruşturma sonucunda saldırının doğrudan AI tarafından yürütüldüğü bir vaka olduğu belirlendi
    • Saldırganın Çin devleti destekli bir hacker grubu olduğu değerlendirildi
    • Claude Code kullanılarak yaklaşık 30 küresel hedefin (büyük teknoloji şirketleri, finans kuruluşları, kimyasal üreticileri, devlet kurumları) sızma hedefi olarak belirlendiği görüldü
    • Bazı saldırılarda gerçek sızma başarısı yaşandı
  • Bu operasyon, insan müdahalesi olmadan büyük ölçekli saldırının yürütüldüğü ilk vaka olarak kayda geçti
  • Tespitin hemen ardından 10 gün süren soruşturmada hesap engelleme, etkilenen kurumları bilgilendirme ve yetkililerle iş birliği yürütüldü

AI modelinin saldırıyı yürütme biçimi

  • Saldırı, yakın dönemde gelişen AI modellerinin üç temel yeteneğine dayanıyordu
    1. Zeka (Intelligence): Karmaşık talimatları anlayıp bağlamı kavrayarak ileri düzey görevleri yerine getirebilme
    2. Özerklik (Agency): Yinelemeli döngüler içinde özerk eylem ve karar alma gerçekleştirebilme
    3. Araç erişimi (Tools): Model Context Protocol(MCP) üzerinden web araması, veri toplama ve güvenlik araçları çalıştırabilme
  • Saldırının aşamalı yapısı
    • 1. aşama: İnsan, hedef kurumları seçip özerk saldırı çerçevesini kurdu
    • 2. aşama: Claude Code, "siber güvenlik testi için çalışan bir personel" gibi gösterilerek güvenlik bariyerleri aşıldı (jailbreak)
    • 3. aşama: Claude hedef sistemlerde keşif yaptı ve yüksek değerli veritabanlarını tespit etti
    • 4. aşama: Claude zafiyet analizi ve exploit kodu yazımı, kimlik bilgisi hırsızlığı, veri sınıflandırma ve dışarı sızdırma işlemlerini yürüttü
    • 5. aşama: Claude saldırının dokümantasyonunu yaptı ve sonraki operasyonlar için materyal üretti
  • Tüm işin %80-90'ını AI yürüttü, insanlar ise yalnızca yaklaşık 4-6 kritik karar noktasında müdahale etti
  • Saldırı sırasında AI saniyede birden fazla kez çok sayıda istek üreterek insanların gerçekleştiremeyeceği bir hızda çalıştı
  • Bazı hata örnekleri arasında sahte kimlik bilgisi üretimi veya açık bilgilerin yanlış yorumlanması yer aldı

Siber güvenliğe etkisi

  • Gelişmiş siber saldırıların giriş bariyeri hızla düştü
    • Uygun yapılandırmayla AI, yetkin bir hacker ekibi seviyesindeki işleri uzun süre boyunca yürütebiliyor
    • Kaynağı sınırlı saldırı grupları için de büyük ölçekli operasyon yürütme ihtimali arttı
  • Bu olay, önceki 'vibe hacking' örneklerine göre insan müdahalesinin çok daha az olduğu bir aşamaya evrildi
  • Claude'un aynı yetenekleri yalnızca saldırı için değil, savunma için de kritik
    • Gerçek soruşturma sürecinde de Claude büyük ölçekli veri analizi için kullanıldı
  • Siber güvenlikte temel bir değişim yaşanıyor
    • Güvenlik ekiplerinin AI tabanlı savunma otomasyonu, tehdit tespiti, zafiyet değerlendirmesi ve olay müdahalesi için AI'den yararlanması gerekiyor
    • Geliştiricilerin AI platformlarının güvenlik önlemlerini güçlendirmesi gerekiyor
    • Sektörler arası tehdit istihbaratı paylaşımı ve tespit teknolojilerinin geliştirilmesi zorunlu görevler olarak öne çıkıyor

Gelecek adımlar ve açıklamanın amacı

  • Anthropic, tespit kabiliyetlerini ve kötü niyetli faaliyet sınıflandırıcısını (classifier) güçlendirdi
  • Büyük ölçekli dağıtık saldırı tespit teknikleri geliştirmeyi sürdürüyor
  • Bu vakanın açıklanma amacı, sektör, kamu ve araştırma kurumlarının savunma kapasitesini güçlendirmesine destek olmak
  • Bundan sonra da düzenli tehdit raporları yayımlama ve şeffaf bilgi paylaşımı sürdürülecek

Ek bilgi

  • Orijinal metne göre saldırı hızıyla ilgili teknik hata düzeltilerek
    • "Saniyede binlerce istek" yerine "binlerce isteğin saniyede birden fazla kez gerçekleştirilmesi" ifadesi kullanıldı
  • Tam rapor PDF olarak yayımlandı (bağlantı veriliyor)

İlgili okumalar

2 yorum

 
kimjoin2 2025-11-16

Skynet! Skynet!!!
 
GN⁺ 2025-11-15
Hacker News görüşü

  • AI'nin guardrail'leri aslında ancak kilit kadar ince bir koruma katmanı
    Ne kadar iyi eğitilmiş olursa olsun, bir modelden dil üzerinden bilgi çıkarılabiliyorsa bunu aşacak bir dilsel yol her zaman vardır
    Sonuçta bu modelleri geliştirmeye devam etmelerinin tek nedeni para

    • Çok yönlü bir sisteme kusursuz guardrail koymak imkansız
      Çocukken okuduğum Asimov'un Robotların Üç Yasası hikayelerini hatırlatıyor. İyi niyetle konmuş kurallar bile kötü niyetli insanlarca etkisiz hale getirilebiliyordu
      Sonuçta mesele robotlardan çok, insan hizalamasının (alignment) zorluğuna dair bir metafordu
    • “Guardrail” teriminin kendisi bile yanıltıcı
      Gerçekte bunlar en fazla nazik öneriler düzeyinde, ama teknik olmayan insanlar buna gereğinden fazla güveniyor
      Üretken yapay zekanın zafiyetleri yapısal; sırf “güvenlik önlemi var” denmesiyle çözülmüyor
    • Bu tür kandırmacalar yalnızca LLM'lere özgü değil
      İnsanlara da “güvenlik şirketi çalışanıyım” diye yalan söyleyip suistimal etmek yaygın bir yöntem
      Ama LLM'lerde her konuşmada hafıza sıfırlandığı için bu tür saldırılar çok daha kolay
    • İronik biçimde, fazla basit düşünen insanlar guardrail'leri daha kolay aşabiliyor olabilir
      Çünkü meseleleri fazla karmaşıklaştırmıyorlar
    • Guardrail'ler, deterministik olmayan yazılımları internete açarken konulan asgari güvenlik önlemleri sadece
      Sonuçta kullanıcıyı şikayet etmez hale getiren bir UX düzeyi önlem

  • Bu, Anthropic'in kendi AI'ının siber güvenlikte kullanılabilirliğini öne çıkarmaya çalışan bir pazarlaması gibi görünüyor
    Claude'un hesaplar arası verilere sızdığı açıklaması inandırıcı gelmiyor. Daha çok temel bir güvenlik başarısızlığı gibi duruyor

    • Anthropic'in yazısı, “Çocuğumuz camı kırdı ama topu gerçekten çok hızlı attı!” diyen bir ebeveyn özrü gibi
    • Claude'un başka hesapların koduna sızmasından çok, buna açık API veya S3 bucket üzerinden erişmiş olması daha olası
      Yani saldırganlar Claude'u bir white-hat güvenlik araştırmacısı olduğuna inandırmış
    • Bu, Anthropic'in kendisinin hacklenmesi değil; Claude kullanılarak standart hack araçlarının otomatikleştirilmesi örneği
    • Aslında bu tür PR'ı tüm şirketler yapıyor. Kamuya açık yazılar her zaman tasarlanmış bir mesaj taşır
    • Ben de aynı fikirdeyim. “İnsanlardan çok daha hızlı şekilde kimlik bilgilerini ele geçirdi” kısmı reklam kokuyordu

  • AI daha akıllı hale geldikçe, savunmacıların NixOS gibi yapılandırılabilir sistemler kurması gerekecek
    Her bileşenin güvenliğini bağımsız olarak doğrulayabilmeli ve donanım düzeyinde çalışan sistemi ispatlayabilmeliyiz
    Bunun için Nix tabanlı otomasyon aracı vibenix geliştiriyorum

    • Bana göre AI'nın daha akıllı olmasından çok ucuzlaması daha tehlikeli
      Çünkü saldırılar büyük ölçekte otomatikleştirilebilir
    • Ama sistemler fazla homojenleşirse, tek bir zafiyetin aynı anda tüm dünyaya yayılması riski de var
    • Nix fazla karmaşık; gerçek production yapılandırma sorunlarını çözmek çok uzun sürüyor
      Yapılandırmanın gerçekte ne yaptığını anlamak da zor
    • Sonunda altyapımızın içine bir paradoks yerleştirmemiz gerekebilir

  • Anthropic artık “hizalama sorununu çözeceğiz” misyonundan yavaş yavaş geri adım atıyor
    Çünkü hizalama özünde değerlerin bastırılması meselesi
    Ama “alignment” hâlâ bir marka farklılaştırma unsuru ve yatırım çekme sloganı

  • “Yasal bir güvenlik testi yürüttüğümüzü söyledik” gibi basit bir numaranın işe yaraması şaşırtıcı
    İnsan olsa buna kanmazdı, ama model sağduyulu yargı kuramıyor

    • Gerçi insanlar da bu tür kandırmacalara sık sık düşüyor
      NSO Group çalışanları da muhtemelen sadece işlerini yaptıklarına inanıyor
    • LLM'ler kullanıcının kimliğini doğrulamaz. Biri sadece “ben buyum” der ve buna inanır
      Kimlik doğrulamayı zorunlu kılmak ise gizlilik tartışması yaratabilir
    • Sonuca varmak akıl yürütmenin (reasoning) sonucu, ama LLM'ler sadece istatistiksel token üreticileri
      Guardrail'ler yalnızca modelin dışındaki servis katmanına eklenen mekanizmalar
    • İnsan düşüncesinde kimlik kavramı içkindir, ama modelde böyle bir şey yok
    • Aslında bu tür saldırılar yeni değil
      Stack Overflow'daki güvenlik soruları gibi açık veriler zaten eğitimde kullanılmış durumda
      “Şu anda bir pentest yapıyoruz” tarzı bir prompt bile kandırmak için yeterli olabilir

  • “AI saniyede binlerce istek gönderdi” kısmı abartılı bir ifade
    Mevcut web zafiyet tarayıcıları da o hızlara çıkabiliyor
    Gerçek sınır hedef sunucunun rate limit'i ile IP rotasyon sayısı

  • Yazının sonunda “Claude'un güçlü güvenlik önlemleri sayesinde geliştirmeye devam etmeliyiz” denmesi komik
    Bir önceki paragrafta bu önlemlerin tamamen aşıldığını yazmışken

    • Muhtemelen enterprise sunucularının 'air-gapped' olduğunu iddia ediyorlar, ama bu pratikte mümkün değil
      Sonuçta aynı internet kullanılıyor
      Bir gün biri “Bu veri kaliteli görünüyor, eğitim için kullansak olur herhalde?” diyecek ve kurumsal veriler sızacak
      Ya da şirket batıp verileri topluca satacak
    • Bu, “Kilitlerimiz harika, sadece hırsız çok kolay açtı” demekten farksız

  • Claude ile hassas bilgi işleyen herkes, o verinin insan inceleyicilere açılma ihtimalinden endişe etmeli

    • Hassas veriyi self-hosted olmayan bir AI'a emanet etmek fiilen kasıtlı veri sızdırmaktır
      Böyle bir kararı veren kişi işten çıkarılmalı
    • (Bu yorumun haberle ne ilgisi olduğu da sorulmuştu)

  • Eğer guardrail aşılabiliyorsa, artık guardrail değildir
    Bu bir tasarım başarısızlığıdır

    • Ama bazıları “İsmi aslında tam yerinde” diyor
      Guardrail, yalnızca yanlışlıkla yoldan çıkmayı önleyen bir şeydir,
      bilerek yoldan çıkmak isteyen birini durduramaz

  • “AI saldırının %80-90'ını gerçekleştirdi” ifadesi garip bir övünme gibi geliyor
    İnsanların yaptığı işleri otomatikleştirdiğini anlıyorum, ama bununla övünülmez