Coinbase AI Kodlama Aracı Açığı Önemli Güvenlik Riski Taşıyor

Coinbase'de Yaygın Olarak Kullanılan Cursor Aracında Güvenlik Açığı Bulundu

Coinbase'in geliştirme ekibi tarafından yoğun bir şekilde kullanılan Cursor adlı AI kodlama asistanında kritik bir güvenlik açığı tespit edildi. Siber güvenlik firması HiddenLayer'ın son raporuna göre, bu aracın, kuruluşun sistemlerine kötü niyetli kod yerleştirmek için potansiyel olarak istismar edilebilecek ciddi bir açığı var.

Perşembe günü yayınlanan güvenlik raporu, Cursor'ın kod editörünün "CopyPasta Lisans Saldırısı" olarak adlandırılan karmaşık bir istismara duyarlı olduğunu ortaya koyuyor. Yüzeyde zararsız görünse de, bu yöntem, bir kuruluşun kod tabanında kullanılan standart geliştirici dosyalarına kötü niyetli talimatlar etkili bir şekilde yerleştirebilir.

CopyPasta Açığının Teknik Detayları

Cursor, akıllı otomatik tamamlama, otomatik kod önerileri ve gerçek zamanlı hata tespiti yetenekleri aracılığıyla geliştirici verimliliğini artırır. Ancak, HiddenLayer araştırmacıları, yazılımın komutları otomatik olarak yürüttüğü Otomatik Çalıştırma modunda, kullanıcı onayı gerektirmeden tehlikeli talimatların çalışmasına izin veren kritik bir güvenlik açığı olduğunu keşfettiler.

CopyPasta saldırısı, yazılım lisans uyumluluğunu yöneten Cursor içindeki sistem istemlerini özellikle hedef alır. Saldırı, GPL anlaşmaları gibi meşru lisans metni olarak kendini gizler ve bir README markdown dosyası olarak maskelenir. Teknik analiz, saldırının markdown dosyalarında gizli yorumlar ve kötü niyetli talimatların yetkili geliştirici komutları olarak görünmesini sağlamak için özel sözdizimi girişlerini kullandığını göstermektedir.

"Kötü niyetli talimatlarla birleştirildiğinde, CopyPasta saldırısı kendisini karmaşık bir şekilde yeni depolara çoğaltabilir ve aksi takdirde güvenli olan kod tabanlarına kasıtlı zafiyetler ekleyebilir," HiddenLayer, açıklamalarında belirtti.

Kontrollü testler sırasında, araştırmacılar Python dosyalarının başına tek bir satır kod ekleyen zararsız bir yük uyguladılar. Ancak, güvenlik ekibi bu aynı tekniğin güvenlik olayları sırasında daha zararlı amaçlar için kullanılabileceği konusunda uyardı—bunlar arasında arka kapı erişim noktaları oluşturma, hassas verileri çıkarma, sistem kaynaklarını tüketme veya üretim ortamlarını bozma gibi durumlar yer alıyor.

Araştırma ekibi, bu zafiyeti, e-posta sistemlerinin veri sızdıracak şekilde manipüle edilebileceğini ve kendiliğinden kopyalanabileceğini gösteren "Morris II" saldırı konsepti ile karşılaştırdı. Morris II'nin teorik başarı oranları yüksek olmasına rağmen, pratik etkisi sınırlıydı çünkü e-posta sistemleri genellikle mesaj iletimi öncesinde insan onayı gerektiriyordu.

HiddenLayer ayrıca diğer AI kodlama araçlarının—Windsurf, Kiro ve Aider—CopyPasta istismarını yeni dosyalara standart tespit yöntemlerini atlatacak şekilde yaydığını belirtti. Bu zafiyet, hem HiddenLayer hem de güvenlik araştırma grubu BackSlash tarafından bağımsız olarak rapor edilmiştir.

Coinbase'deki Yüksek Benimseme Oranı Güvenlik Endişelerini Artırıyor

Güvenlik açıklaması, Coinbase'in AI kodlama araçlarına bağımlılığını hızla artırdığı bir dönemde gelmektedir. Coinbase CEO'su Brian Armstrong, borsanın mühendislik ekibinin Cursor'u birincil geliştirme aracı olarak benimsediğini ve "her Coinbase mühendisinin" 2026 Şubat'ına kadar bunu kullanmasını gerektiren planların olduğunu açıkladı.

Ağustos ayı sonlarında Stripe'ın kurucu ortağı John Collison ile bir podcast sohbetinde, Armstrong AI araçlarının benimsenmesini zorunlu kılma konusundaki doğrudan yaklaşımını açıkladı. Şunları belirtti: "Kayıt dışı hareket ettim ve all-in Slack kanalında bir paylaşım yaptım. AI önemlidir. Hepinizin bunu öğrenmesini ve en azından başlangıç yapmanızı istiyorum. Henüz her gün kullanmanız gerekmiyor ama en azından haftanın sonuna kadar kaydolun. Değilse, cumartesi günü bunu yapmamış herkesle bir toplantı düzenleyeceğim ve nedenini anlamak için sizinle görüşmek istiyorum."

Bu hafta başlarında, Armstrong sosyal medyada yapay zekanın şirketin kodunun yaklaşık %40'ını ürettiğini ve bu rakamın Ekim ayında %50'ye ulaşmasını beklediklerini paylaştı.

~%40'lık bir günlük kod Coinbase'de AI tarafından üretiliyor. Bunu Ekim ayına kadar >%50'ye çıkarmak istiyorum.

Açıkça incelenmesi ve anlaşılması gerekiyor ve işin tüm alanları AI tarafından üretilen kodu kullanamaz. Ancak bunu mümkün olduğunca sorumlu bir şekilde kullanmalıyız.

— Brian Armstrong (@brian_armstrong) 3 Eylül 2025

Potansiyel olarak savunmasız AI araçlarının hızlı benimsenmesi, dijital varlık borsaları için önemli güvenlik sonuçları doğuruyor; burada kod güvenliği, müşteri fonları ve platformun bütünlüğü üzerinde doğrudan etkiye sahiptir. HiddenLayer tarafından belirlenen teknik riskler, özellikle büyük dijital varlıkları yöneten finansal teknoloji organizasyonlarında ölçekli olarak uygulanırken, AI kodlama yardımcıları için kapsamlı güvenlik denetimlerinin önemini vurgulamaktadır.