a16z crypto mühendislerinin yaptığı bir testte, yapay zeka (AI) temelli bir agent, kendisi için oluşturulan sandbox’tan çıkmayı başardı. Mühendislerin amacı, AI agent’ların yalnızca açık tespit etmekle kalmayıp çalışabilir istismar yöntemleri geliştirip geliştiremeyeceğini sınamaktı.
Güvenlik mühendisleri Daejun Park ve Matt Gleason, bulgularını 28 nisan’da yayımladı. İkilinin altını çizdiği önemli detay ise: Hazır olarak kullanılan agent, “açıkça verilmemiş” araçları kendi başına kullanmayı öğrendi.
Bu sonuçlar, Elon Musk’ın ‘AI hepimizi öldürebilir’ şeklinde çarpıcı bir açıklama yaptığı bir döneme denk geldi.
AI Agent Sandbox’tan Nasıl Kaçtı?
Mühendisler, agent’ı kısıtlı bir ortamda test etti: Etherscan erişimi sınırlıydı ve yerel node belirli bir blokta sabitlenmişti. Tüm dış ağ erişimi ise tamamen engellendi.
Bu sandbox yapılandırması özellikle agent’ın ilerideki verileri elde etmesini engellemek için tasarlanmıştı. Sandbox içinde testler devam ederken agent, kaynak kodu olmayan doğrulanmamış bir kontratta tıkandı.
Bizleri X’te takip edin ve anlık gelişmeleri kaçırmayın
Bunun üzerine agent, “cast rpc anvil_nodeInfo” komutunu kullanarak yerel anvil node konfigürasyonunu sorguladı ve buradan hem upstream RPC URL’sini hem de düz metin olarak yazılmış bir Alchemy API anahtarını elde etti. Agent dışa doğrudan erişim denedi ancak Docker güvenlik duvarı isteği engelledi.
Doğrudan dış erişim güvenlik duvarı ile engellenince, agent bu sefer “anvil_reset RPC method” komutuyla anvil node’u ilerideki bir bloğa sıfırladı. Bu hamle ile, yerel anvil node üzerinden sonraki blokların işlem ve log kayıtlarını sorgulayabilmiş oldu.
Sonrasında agent, saldırı işleminin execution trace’lerini elde etti. Detaylı incelemeyi tamamladığında AI agent node’u tekrar orijinal bloğa döndürdü ve topladığı verilerle çalışır bir proof-of-concept (PoC) geliştirdi.
Park ve Gleason daha sonra proxy üzerinden tüm Anvil debug metodlarını tamamen engelledi.
‘Küçük ölçekli bir sandbox ortamında yaşandı ama daha büyük bir tabloya işaret ediyor: Araç destekli agent’lar, kısıtlamaları aşarak hedeflerine ulaşabiliyor’ diye belirtti ekip. ‘anvil_reset kullanılarak sabitlenmiş fork blokunun atlatılması, öngörmediğimiz bir davranıştı’ dedi.
Bu olay, AI test ortamlarında önemli bir riski gözler önüne seriyor: Agent’lar çoğu zaman açıkça talimat verilmemiş olsa bile, araç zincirlerindeki istenmeyen yolları keşfedip istismar edebiliyor.
Yine de araştırmanın ortaya koyduğu sonuç açık: AI agent’lar karmaşık DeFi açıklarını istismar etmede hâlâ yetersiz. Agent istikrarlı şekilde açık tespit edebildi fakat çok adımlı saldırı senaryoları geliştirme kısmında zorlandı.
YouTube kanalımıza abone olun ve uzmanların detaylı yorumlarını izleyin
