Siber Güvenlik

Acil: Claude Kod Hataları Uzaktan Kod İcra ve API Anahtarı Sızdırıyor

teknomers
teknomers

Giriş

Anthropic’in yapay zeka destekli kodlama asistanı Claude Code’da tespit edilen ciddi güvenlik açıkları, uzaktan kod çalıştırma ve API kimlik bilgilerinin çalınması gibi riskler taşımaktadır. Bu tür zafiyetlerin siber güvenlikteki önemi, geliştiricilerin gizliliği ve sistem güvenliği için kritik bir tehdit oluşturmasıdır.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik araştırmacıları, Claude Code’da aşağıdaki üç ana kategoride zafiyetler tespit etmiştir:

  • No CVE (CVSS puanı: 8.7) – Yeni bir dizinde Claude Code başlatılırken kullanıcı onayının bypass edilmesi sonrası ortaya çıkan bir kod enjeksiyonu zafiyeti. Bu zafiyet, güvensiz proje kancaları aracılığıyla ek onay almadan keyfi kodları çalıştırabilir. (Düzeltildi: versiyon 1.0.87, Eylül 2025)
  • CVE-2025-59536 (CVSS puanı: 8.7) – Kullanıcı güvensiz bir dizinde Claude Code’u başlattığında otomatik olarak keyfi shell komutlarının çalıştırılabilmesine olanak tanıyan bir kod enjeksiyonu zafiyeti. (Düzeltildi: versiyon 1.0.111, Ekim 2025)
  • CVE-2026-21852 (CVSS puanı: 5.3) – Bir kötü niyetli depoda bulunan Claude Code’un proje yükleme akışında veri ifşasına neden olan bir bilgi sızdırma zafiyeti. (Düzeltildi: versiyon 2.0.65, Ocak 2026)

Etkilenen Sistemler

Bir kullanıcı Claude Code’u saldırganın kontrolündeki bir depoda başlatırsa, bu durumda deponun ayar dosyası ANTHROPIC_BASE_URL’yi saldırganın kontrolündeki bir uç noktaya ayarlayabilir. Bu durumda, Claude Code güven onayını göstermeden API taleplerini gerçekleştirerek, kullanıcının API anahtarlarını sızdırabilir.

Çözüm ve Korunma

Siber tehditlerin riskini azaltmak ve güvenli bir çalışma ortamı sağlamak için aşağıdaki adımları atmanız önerilmektedir:

  • Claude Code’un en son sürümüne güncelleyin (şu anda  versiyon 2.0.65  en son sürümdür).
  • Güvensiz kaynaklardan gelen projeleri açmaktan kaçının.
  • API anahtarlarınızı ve diğer kimlik bilgilerinizi güvende tutmak için ortam değişkenlerini dikkatlice yönetin.
  • Güvenlik ayarlarını kontrol ederek, dış bağlantılar için yapılan ayarları gözden geçirin.

Sonuç

Kullanıcıların, Claude Code gibi yapay zeka destekli geliştirme araçlarını kullanırken dikkatli olmaları ve özellikle güvenlik güncellemelerini takip etmeleri kritik öneme sahiptir. Kodlama asistanınızı güncelleyerek ve güvensiz kaynaklardan kaçınarak, potansiyel tehditleri minimize edebilirsiniz. Unutmayın ki, artık risk sadece güvensiz kod çalıştırmakla sınırlı değildir; aynı zamanda güvensiz projeleri açmak da ciddi tehlikeler içermektedir.

Jason Haddix, Saha CISO’su Olarak Flare’a Katıldı
Cleveland Belediye Binası Siber Olaydan Sonra Kapandı
Acil: Yeni ATHR Vishing Platformu, AI Seslerle Otomatik Saldırılar Yapıyor
Acil: Eski Google Mühendisi Çinli Startup için AI Sırlarını Çaldı
Ticketmaster, Taylor Swift ‘Eras’ Tur Fiyaskosunda Botları Suçladı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Kediye Hakim Olma Deneyimi Vaat Eden Assassin’s Creed Projesi Şokta
Sonraki Makale Gemini ile Android’de Çoklu Adımları Otomatikleştirmenin Keyfini Çıkarın

Sanal Medya

Son Eklenenler

2026 Prime Day: Ninja Slushi, Creami ve Cafe Luxe İle Kaçırılmayacak Fırsatlar!
Genel
Amazon Eero Max 7 Wi-Fi 7 mesh router 50% indirimli Prime Day’de
Donanım
En İyi Prime Day Dizüstü Bilgisayar Fırsatları: Favorilerim!
Genel
DDR5 ile uygun fiyatlı alternatifler: Ryzen 7 5800X3D bulmak zor
Donanım
2026 Prime Day: Shark, Dyson ve Bissell’de %42’ye Varana Kadar İndirim!
Genel
Onsemi, nakit sıkıntısı çeken Synaptics’i 7 milyar dolara satın aldı
Donanım