Bildiğiniz gibi Microsoft her geçen gün yapay zeka platformu olan Copilot için yeni entegrasyonlar ve özellikler duyuruyor. Bu aslında Microsoft’ a özel bir durum değil, yapay zeka savaşında her üretici bir diğerinden önde olmak istiyor, durum böyle olunca da rekabetin bize yaramasına rağmen bazen bu olayda olduğu gibi güvenlik riskleri doğabiliyor. Baştan söylemek istiyorum, sektörde ne yazık ki yapay zekaya karşı cephe almış bir kitle var, bunu nereden biliyorum? Aynısını 2000′ lerin başında sanallaştırma için yapanları gördüm, sonra 2010 yıllarında bulut bilişim için, ancak geldiğimiz noktada her iki teknolojide günümüzün gerçeği, yani bunlar ile mücadele etmek değil bunları nasıl daha iyi kullanırız, nasıl daha güvenli kullanırız noktasında kafa yormalıyız. Gelelim gündemimize;
Nisan 2025’te Microsoft, Copilot Enterprise’a yeni bir özellik olarak Jupyter tabanlı Python sandbox ortamını duyurdu. Kullanıcılar için kod çalıştırmayı oldukça esnek hale getiren bu yenilik kısa sürede ciddi bir güvenlik açığının odağına dönüştü. Hollandalı güvenlik araştırmacıları Eye Security’nin bu yapıdaki kritik bir yanlış yapılandırmayı keşfetmesiyle platformda root erişimi elde edilebileceği tespit edildi. Yani fark eden ekip iyi bir ekip ama acaba onlardan önce fark eden oldu mu?
Copilot Enterprise’ın içinde çalışan keepAliveJupyterSvc.sh betiği sistemdeki pgrep komutunu çalıştırırken tam yol (örneğin /usr/bin/pgrep) belirtmiyordu. $PATH değişkeninin ilk sırasında yazılabilir bir dizinin (/app/miniconda/bin) bulunması saldırganların bu dizine kötü niyetli bir pgrep script’i yerleştirip root olarak çalıştırabilmesine olanak tanıyordu.
Eye Security araştırmacıları upload edilebilir bir pgrep python script’i hazırlayarak PoC (Proof of Concept) gerçekleştirdiler. Bu script arka planda /mnt/data/in dosyasından komut alıyor ve bunu çalıştırıp çıktısını /mnt/data/out dosyasına yazıyordu (SecPod). Böylelikle, container içinde root ayrıcalıklarıyla komut çalıştırma sağlanabiliyordu.
Peki bu durum ne kadar sürdü? İlk bildirim 18 Nisan 2025 tarihinde yapıldı, yama işlemi ise 25 Temmuz 2025. Bulut ortamında çalışan bir sistem için bence çok uzun bir süre.
Özetlemek gerekir ise bu olay kurumsal AI sistemlerinin özellikle sandbox mimarilerinin özenle yapılandırılması gerektiğini gösteriyor. Path hijacking gibi klasik Linux zafiyetleri, AI destekli ortamlara taşındığında çok daha tehlikeli boyutlara ulaşabiliyor.
