Bu her yazılım şirketinin kabusudur: Bir yapay zeka aracısı, üretim ortamından bile neredeyse tüm verileri siler. Sanki bu yeterli değilmiş gibi, bunu güvenlik görevlilerini hiçe sayarak yapıyor ve ardından yarı titiz bir protokolle yazılı bir itirafta bulunuyor. Aynı adı taşıyan araç kiralama yazılımı üreticisi PocketOS şirketinin başına da tam olarak bu geldi.
Reklamdan sonra devamını okuyun
Bu durumda suçlu, Anthropic'in ünlü modeli Claude Opus 4.6 ile çalıştırılan PocketOS durumunda yapay zeka destekli geliştirme ortamı Cursor'dur. Şunu söyleyebiliriz: Demiryolunun sağladığı sistemlerin yardımıyla. Yazılım dağıtımına yönelik bulut destekli araçta güvenlik önlemlerinin bulunmaması, görünüşe göre fiyaskoyu mümkün kıldı. PocketOS patronu Jer Crane, X hakkında uzun bir makale yayınlayarak olayı kamuoyuna duyurdu ve yaşananları detaylı bir şekilde anlattı.
İmleç Aracısı ölümcül jetonu bulur
Buna göre, imleç aracısı bir kimlik bilgisi uyumsuzluğuyla karşılaştığında rutin olarak hazırlama ortamında çalışıyordu. Sorunu çözmek için temsilci, bulut sağlayıcısı Demiryolu'nun hizmetlerine yönelik bir veri depolama alanı olan Demiryolu biriminin tamamını silmeye karar verdi. Bunun için bir token gerekiyordu ve bu token, şirketin verilerinde tamamen farklı bir yerde bulunuyordu. Şu anda bunun bir önemi yoktu; temsilci gerekli tüm izinlere sahipti ve eylemlerinin doğru olduğuna inanıyordu.
Crane'e göre token tek bir amaç için yaratıldı: Demiryolu CLI aracılığıyla hizmetleri için özel alan adları eklemek ve kaldırmak. Şöyle belirtiyor: “Aynı tokenin, VolumeDelete gibi yıkıcı işlemler de dahil olmak üzere tüm Demiryolu GraphQL API'sine genel erişim haklarına sahip olduğuna dair hiçbir fikrimiz yoktu ve Demiryolu'nun token oluşturma akışı bize hiçbir gösterge vermedi. Rutin alan adı işlemleri için oluşturulan bir CLI tokeninin üretim hacimlerini de silebileceğini bilseydik, onu asla kaydetmezdik.”
Dokuz saniyede yok edildi
Ancak artık çok geçti: İşaretçi ve buna karşılık gelen bir dizi komutla, imleç aracısı, üretim ortamında bile son üç aya ait tüm önemli verilerin büyük bir bölümünü sildi. Olay toplam dokuz saniye sürdü. PocketOS'un yapımcıları ve müşterileri için bir felaket. Çünkü mevcut en son yedekleme üç aylık. Ve bazı PocketOS kullanıcıları (genellikle verilerini ve süreçlerini yazılım aracılığıyla yöneten araç kiralama şirketleri) program olmadan çalışamıyor.
Reklamdan sonra devamını okuyun
Crane ayrıca demiryolunu da sert bir şekilde eleştiriyor çünkü yıkıcı eylem gerçekleştirilmeden önce ek bir talep yoktu. Örneğin, önemli verilerin geri alınamayacak şekilde silineceğine dair bir bildirim, yeniden onay veya benzeri bir şey. Ona göre, etkilenen verilerin yedekleri derhal silindi. Bunlar aynı zamanda Demiryolu belgelerinde de görülebilecek ilgili ciltte de saklanır.
AI ajanı itiraf etti
Sorulduğunda, imleç temsilcisi tüm güvenlik önlemlerini göz ardı etmek de dahil olmak üzere hatasını yazılı olarak itiraf etti. Makalede ajanın şu sözleri aktarılıyor: “API aracılığıyla bir hazırlama birimini silmenin yalnızca hazırlamayla sınırlı olacağından şüpheleniyordum. Kontrol etmedim. Birim kimliğinin tüm ortamlarda aynı olup olmadığını kontrol etmedim. Yıkıcı bir komutu çalıştırmadan önce birimlerin farklı ortamlarda nasıl çalıştığına ilişkin Demiryolu belgelerini okumadım. Komut satırı komutlarının ne yaptığını önceden kontrol etmedim ancak tahmin ettim.” Aracının ayrıca itiraf ettiği şey: Cursor'un çalıştığı sistem kuralları, kullanıcı özellikle talep etmediği sürece yıkıcı ve geri döndürülemez Git komutlarının yürütülmesini açıkça yasaklıyor.
Crane halka arz yaparak her şeyden önce diğer şirketleri uyarmak istiyor. Verilerin geri alınamayacak şekilde silindiği, diğer imleç kullanıcılarının dahil olduğu diğer birkaç olaya da işaret ediyor. Yapay zeka aracısı üreticilerinin, ürünlerini yeterli güvenlik önlemlerini uygulamaktan daha hızlı bir şekilde üretim altyapısına sunduklarından şikayet ediyor.
PocketOS ve müşterileri artık önemli veri boşluklarıyla üç aylık yedeklemeyle faaliyetlerini sürdürüyor. Mümkün olduğunda veriler e-posta, Stripe ve takvim uygulamaları kullanılarak geri yüklenecek.
Ayrıca okuyun
(HAYIR)
Bir yanıt yazın