Siber Güvenlik

Acil: Claude Kod Hataları Uzaktan Kod İcra ve API Anahtarı Sızdırıyor

teknomers
teknomers

Giriş

Anthropic’in yapay zeka destekli kodlama asistanı Claude Code’da tespit edilen ciddi güvenlik açıkları, uzaktan kod çalıştırma ve API kimlik bilgilerinin çalınması gibi riskler taşımaktadır. Bu tür zafiyetlerin siber güvenlikteki önemi, geliştiricilerin gizliliği ve sistem güvenliği için kritik bir tehdit oluşturmasıdır.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik araştırmacıları, Claude Code’da aşağıdaki üç ana kategoride zafiyetler tespit etmiştir:

  • No CVE (CVSS puanı: 8.7) – Yeni bir dizinde Claude Code başlatılırken kullanıcı onayının bypass edilmesi sonrası ortaya çıkan bir kod enjeksiyonu zafiyeti. Bu zafiyet, güvensiz proje kancaları aracılığıyla ek onay almadan keyfi kodları çalıştırabilir. (Düzeltildi: versiyon 1.0.87, Eylül 2025)
  • CVE-2025-59536 (CVSS puanı: 8.7) – Kullanıcı güvensiz bir dizinde Claude Code’u başlattığında otomatik olarak keyfi shell komutlarının çalıştırılabilmesine olanak tanıyan bir kod enjeksiyonu zafiyeti. (Düzeltildi: versiyon 1.0.111, Ekim 2025)
  • CVE-2026-21852 (CVSS puanı: 5.3) – Bir kötü niyetli depoda bulunan Claude Code’un proje yükleme akışında veri ifşasına neden olan bir bilgi sızdırma zafiyeti. (Düzeltildi: versiyon 2.0.65, Ocak 2026)

Etkilenen Sistemler

Bir kullanıcı Claude Code’u saldırganın kontrolündeki bir depoda başlatırsa, bu durumda deponun ayar dosyası ANTHROPIC_BASE_URL’yi saldırganın kontrolündeki bir uç noktaya ayarlayabilir. Bu durumda, Claude Code güven onayını göstermeden API taleplerini gerçekleştirerek, kullanıcının API anahtarlarını sızdırabilir.

Çözüm ve Korunma

Siber tehditlerin riskini azaltmak ve güvenli bir çalışma ortamı sağlamak için aşağıdaki adımları atmanız önerilmektedir:

  • Claude Code’un en son sürümüne güncelleyin (şu anda  versiyon 2.0.65  en son sürümdür).
  • Güvensiz kaynaklardan gelen projeleri açmaktan kaçının.
  • API anahtarlarınızı ve diğer kimlik bilgilerinizi güvende tutmak için ortam değişkenlerini dikkatlice yönetin.
  • Güvenlik ayarlarını kontrol ederek, dış bağlantılar için yapılan ayarları gözden geçirin.

Sonuç

Kullanıcıların, Claude Code gibi yapay zeka destekli geliştirme araçlarını kullanırken dikkatli olmaları ve özellikle güvenlik güncellemelerini takip etmeleri kritik öneme sahiptir. Kodlama asistanınızı güncelleyerek ve güvensiz kaynaklardan kaçınarak, potansiyel tehditleri minimize edebilirsiniz. Unutmayın ki, artık risk sadece güvensiz kod çalıştırmakla sınırlı değildir; aynı zamanda güvensiz projeleri açmak da ciddi tehlikeler içermektedir.

Action1 Yama Yönetim Platformuna 20 Milyon Dolarlık Yatırım Duyurdu
Babuk Kaynak Kodu, VMware ESXi Sistemlerini Hedefleyen 9 Farklı Fidye Yazılımı Türünü Ateşledi
Trend Micro, Aktif Olarak İstismar Edilen Kritik Güvenlik Açığı İçin Acil Düzeltmeyi Yayınladı

Android Cihazlar için Yeni Güvenlik Özelliği: 3 Günlük Hareketlilik Sonrası Otomatik Yeniden Başlatma

Tayland Polis Sistemleri ‘Yokai’ Arka Kapısından Ateş Altında
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Kediye Hakim Olma Deneyimi Vaat Eden Assassin’s Creed Projesi Şokta
Sonraki Makale Gemini ile Android’de Çoklu Adımları Otomatikleştirmenin Keyfini Çıkarın

Sanal Medya

Son Eklenenler

Acil! Toshiba ve Muji websitelerinde şüpheli giriş uyarıları ortaya çıktı
Siber Güvenlik
Tatiliniz İçin 13 Çevre Dostu Paketleme İpucu ile Fark Yaratın
Genel
Kurucular VC korku hikayelerini paylaşıyor, bazıları isimleri veriyor
Genel
Control Resonant devam niteliğinde ama aynı zamanda bir başlangıç noktası mı?
Liste
Anthropic, Claude AI’nin beklenenden hızlı geliştiğini uyardı
Donanım
EA Sports’un Yeni Abonelik Sistemi Oyuncuları Heyecanlandıracak
Oyun