Orchids: Vibe-Coding'de Kritik Güvenlik Açığı

Orchids adlı vibe-coding platformunda keşfedilen bir zafiyet, bir BBC muhabirinin bilgisayarının uzaktan ele geçirilmesine yol açtı. Uzmanlar, bu tür agent tabanlı AI araçlarının derin erişim haklarının sıfır-tıklama (zero-click) saldırılarına zemin hazırlayabileceği uyarısında bulunuyor.

Orchids güvenlik açığı ne anlama geliyor?

Orchids adlı popüler “vibe-coding” aracı, teknik bilgisi olmayan kullanıcıların yalnızca metin komutlarıyla uygulama ve oyun üretebilmesini sağlıyor. Bir siber güvenlik araştırmacısı, BBC için yapılan gösterimde bu platformdaki bir zafiyeti istismar ederek deney amaçlı açtığı projeye müdahale edebildi ve kısa süre sonra muhabirin deney cihazında masaüstü duvar kağıdının değiştiği ve bir not dosyasının belirdiği görüldü.

BBC’ye göre Etizaz Mohsin adlı araştırmacı Aralık 2025’te hatayı buldu; ancak şirkete gönderdiği bildirimlere bir süre yanıt alamadı. Orchids, kullanıcı sayısını ve bazı büyük şirketleri referans gösterse de (BBC’ye iletilen bilgilere göre), güvenlik uyarıları ilk etapta gözden kaçmış gibi yanıtlandı.

Bu olayın en dikkat çekici yönü, saldırının kurbanın herhangi bir ek işlem yapmasına gerek bırakmadan gerçekleşebilme potansiyeliydi — siber güvenlikte “zero-click” diye adlandırılan bu sınıf saldırılar, kullanıcının aktif rolü olmadan cihazlara erişim sağlanmasına imkân verebiliyor. Uzmanlar, vibe-coding ve agentik AI’lerin geniş yetkilerle çalışmasının yeni bir güvenlik riski sınıfı yarattığını vurguluyor.

Güvenlik uzmanları, benzer deneyleri yalnızca izole edilmiş, yedekli makinelerde yapmayı; deney hesapları ve temiz ortamlar kullanmayı öneriyor. Ayrıca, platform geliştiricilerinin kod inceleme, erişim kısıtlamaları ve hızlı güvenlik yanıt süreçleri uygulaması gerektiği belirtiliyor.

Orchids: Vibe-Coding’de Kritik Güvenlik Açığı

Orchids güvenlik açığı ne anlama geliyor?

Kaynaklar ve Bağlantılar:

Bir Cevap Bırakın Cevabı iptal Et