Silikon Vadisi’nde adeta bir HBO hiciv dizisinden fırlamış gibi görünen iki büyük drama bir araya geldi. Y Combinator mezunu LiteLLM‘in geliştirdiği açık kaynaklı projede korkunç bir kötü amaçlı yazılım tespit edildi. Bu olay, güvenlik sertifikasyonlarındaki şüpheli uygulamalarıyla gündemde olan Delve adlı şirketle beklenmedik bir şekilde kesişti. Teknoloji dünyası bu gelişmeleri yakından takip ediyor. Bu durum, siber güvenlik ve yapay zeka alanındaki tartışmaları alevlendirdi. Bu gelişmeler, şirketlerin güvenlik süreçlerini yeniden gözden geçirmesini sağlayabilir.
LiteLLM Projesinde Kötü Amaçlı Yazılım Alarmı
LiteLLM, geliştiricilere yüzlerce yapay zeka modeline kolay erişim sağlıyor. Ayrıca harcama yönetimi gibi önemli özellikler sunuyor. Proje, Snyk’in verilerine göre günde 3.4 milyona varan indirilme sayısıyla büyük bir başarı yakalamıştı. GitHub üzerinde 40 binden fazla yıldız alarak büyük ilgi görmüştü. Binlerce kişi tarafından çatallanmış (fork) olması da projenin popülerliğini gösteriyordu. Ancak bu başarı, kötü amaçlı bir saldırıyla gölgelendi. Geliştiricilerin güvenini sarsan bu durum, ciddi endişelere yol açtı. Projenin geleceği hakkında sorular ortaya çıktı.
Kötü amaçlı yazılım, web araştırmaları için yapay zeka ajanları sunan FutureSearch şirketinden araştırmacı Callum McMahon tarafından bulundu. McMahon, bulgularını detaylı bir şekilde belgeledi. Daha sonra kamuoyuyla paylaştı. Yazılım, LiteLLM’in güvendiği diğer açık kaynak kodlu bir “bağımlılık” (dependency) üzerinden sızmıştı. Sistemlere sızdıktan sonra dokunduğu her yerden giriş bilgilerini çaldı. Çalınan bu kimlik bilgileri sayesinde daha fazla açık kaynak paketine ve hesaba erişti. Bu durum, kimlik bilgilerinin daha geniş bir ağda toplanmasına neden oldu.
McMahon, LiteLLM’i indirdikten sonra bilgisayarının aniden kapandığını fark etti. Bu beklenmedik olay, onu daha derin bir araştırmaya yönlendirdi. Yaptığı incelemede kötü amaçlı yazılımı keşfetti. Ironik bir şekilde, yazılımdaki bir hata bilgisayarının çökmesine neden olmuştu. Bu kötü kodun oldukça özensiz tasarlanmış olması dikkat çekti. McMahon ve ünlü yapay zeka araştırmacısı Andrej Karpathy, yazılımın “vibe coded” olduğunu belirttiler. Yani, gelişigüzel bir şekilde yazıldığını düşündüler. LiteLLM geliştiricileri, bu hafta aralıksız çalışarak durumu düzeltmeye çalışıyorlar. İyi haber ise, durumun nispeten hızlı, muhtemelen saatler içinde fark edilmiş olması. Bu hızlı müdahale, daha büyük zararların önüne geçti. Ancak ders çıkarılması gereken birçok nokta var.
Delve ve Güvenlik Sertifikasyonlarındaki Şüpheler
Bu hikayenin bir diğer kısmı ise sosyal medyada sıkça konuşuluyor. LiteLLM, 25 Mart tarihi itibarıyla web sitesinde gururla iki büyük güvenlik uyumluluk sertifikasını sergiliyordu. Bunlar SOC2 ve ISO 27001 sertifikalarıydı. Ancak bu sertifikaları alırken Delve adında bir startup ile çalışmışlardı. Delve, Y-Combinator destekli yapay zeka tabanlı bir uyumluluk girişimi. Şirket, müşterilerini gerçek uyumlulukları hakkında yanlış yönlendirmekle suçlanıyor. İddialara göre sahte veriler üretiyor ve raporları körü körüne onaylayan denetçiler kullanıyordu. Delve bu iddiaları reddetti. Fakat iddialar, teknoloji camiasında ciddi endişelere neden oldu. Güvenilirlik konusunu tekrar gündeme taşıdı.
Bu noktada önemli bir ayrım var. Bu tür sertifikalar, bir şirketin benzer olayların olasılığını sınırlayan güçlü güvenlik politikalarına sahip olduğunu gösterir. Sertifikalar, LiteLLM gibi bir şirketin kötü amaçlı yazılımlardan etkilenmesini otomatik olarak engellemez. SOC 2, yazılım bağımlılıklarını kapsayan politikaları içerse de, kötü amaçlı yazılımlar yine de sızabilir. Buna rağmen, mühendis Gergely Orosz, X platformunda bu durumu alay konusu eden paylaşımları görünce şaşkınlığını dile getirdi. “Kahretsin, bunun bir şaka olduğunu sanmıştım. Ama hayır, LiteLLM gerçekten de ‘Delve tarafından Güvenli’ idi,” dedi. Bu durum, sertifikasyon süreçlerinin etkinliği konusunda soruları beraberinde getirdi. Şirketlerin sertifikasyon seçimi önem taşıyor.
LiteLLM CEO’su Krrish Dholakia, Delve kullanımı hakkında yorum yapmadı. Kendisi hala saldırı mağduru olmaktan kaynaklanan talihsiz karışıklığı gidermekle meşgul. Dholakia, “Mevcut önceliğimiz Mandiant ile birlikte aktif soruşturma yürütmek. Adli incelememiz tamamlandığında öğrenilen teknik dersleri geliştirici topluluğuyla paylaşmaya kararlıyız,” dedi. Bu olay, siber güvenlik protokollerinin ve sertifikasyon süreçlerinin ne kadar kritik olduğunu bir kez daha gösterdi. Teknolojinin hızla geliştiği bu çağda, güvenliğin her zamankinden daha fazla önem taşıdığı açıkça ortada. Şirketlerin dikkatli olması gerekiyor.
Siber Güvenlikte Yeni Bir Dönem
Silikon Vadisi’ndeki bu son gelişmeler, açık kaynak yazılımların ve güvenlik sertifikasyonlarının geleceğine dair önemli tartışmaları beraberinde getirdi. Geliştiricilerin ve şirketlerin, kullandıkları tüm bağımlılıkları ve iş ortaklarını daha sıkı bir şekilde denetlemesi gerektiği anlaşıldı. Kötü amaçlı yazılımların giderek karmaşık hale geldiği bir dünyada, proaktif güvenlik önlemleri hayati önem taşıyor. Bu tür olaylar, tüm ekosisteme değerli dersler sunuyor. Teknoloji dünyası, bu krizlerden güçlenerek çıkmaya çalışacaktır. Güvenlik standartlarının yükseltilmesi hedeflenmelidir.
Daha fazla güncel Teknoloji haberleri için sitemizi ziyaret edebilirsiniz.
