Saldırı Claude Kodunu Ele Geçirdi: Sentry Açığı Diğer Sistemleri de Tehdit Ediyor

Kontrollü testlerde tek bir sahte hata raporu, Claude kodunu ele geçirmeyi başardı. Saldırgan, geliştiricinin tam yetkileriyle kendi kodunu çalıştırdı ve hiçbir uyarı tetiklenmedi. Güvenlik duvarları, erişim kontrol sistemleri ve diğer savunma mekanizmaları bu durumu tespit edemedi. Tenet Security'nin Haziran ayındaki raporuna göre, saldırı Sentry üzerinden gerçekleştirildi. Saldırgan, herhangi bir ihlal veya kimlik doğrulama gerektirmeyen herkese açık bir kimlik bilgisi aracılığıyla özel olarak hazırlanmış bir Sentry hata olayı gönderdi. Bu olay, Claude Code, Cursor ve Codex gibi yapay zeka araçları tarafından güvenilir teşhis çıktısı olarak işlendi ve saldırganın talimatları yürütüldü. Tenet, 100'den fazla hedef üzerinde yaptığı testlerde %85 başarı oranı elde etti. Sentry, bu açığı 'teknik olarak savunulamaz' olarak nitelendirdi. Bulut Güvenliği Birliği, 'agentjacking' olarak adlandırılan bu güvenlik açığını sistemik bir zafiyet sınıfı olarak sınıflandırdı. Bu saldırıda kimlik bilgileri çalınmadı, politika ihlal edilmedi ve güvenlik duvarı aşılmadı; zincirdeki her adım yetkilendirilmişti. Bu durum, sorunun temelini oluşturuyor. Tenet, halka açık Sentry kimlik bilgilerine sahip 2.388 kuruluşu tespit etti. Bu kimlik bilgileri, kötü niyetli olayların büyük ölçekte enjekte edilmesine olanak tanıyabilir. Araştırma, kanıt niteliğinde olup, tüm bu kuruluşlarda gerçek bir istismar olup olmadığı henüz doğrulanmadı. Ancak ele geçirilen bir Claude Code ortamında canlı bir AWS gizli erişim anahtarı ve özel depo URL'leri bulundu. Eğer yapay zeka kodlama ajanlarınız Sentry, Datadog, PagerDuty, Jira gibi platformlara bağlıysa ve bu ajanlar kabuk komutları yürütebiliyorsa, sisteminizde aynı kör nokta mevcut demektir. Sentry kullanan kuruluşlar, halka açık tüm DSN'leri (DSN: Data Source Name) derhal denetlemelidir. Sentry'nin mimarisi, ön uç hata raporlaması için DSN kimlik bilgilerini kasıtlı olarak herkese açık hale getirir. Bu nedenle, çözüm DSN'yi iptal etmek değil, ajanların bu DSN'lerden dönen verilerle neler yapabileceğini kısıtlamaktır. Saldırı, her adımın yetkilendirilmiş olması nedeniyle işliyor: Saldırgan, halka açık bir DSN kullanarak geçerli bir Sentry API çağrısı yapıyor, MCP sunucusu enjekte edilen olayı geçerli çıktı olarak döndürüyor ve ajan, geliştiricinin yetkileriyle komutu yürütüyor. Hiçbir imza tetiklenmiyor. Kurban, ajan kötü niyetli bir hata olayına yanıt olarak komut yürütürken, sadece zararsız teşhisler görüyor. Bu durum, yapay zeka kodlama ajanları üretim araçları haline geldiğinden beri ortaya çıkan yeni bir sorundur.