Yapay zeka destekli kodlama ajanlarının otomatik olarak GitHub depolarını klonlaması ve ayarlaması sırasında, görünüşte zararsız bir depo içindeki kötü niyetli yüklemeler sessizce çalıştırılabiliyor. Bu tür saldırılar, geleneksel güvenlik tarayıcıları, yapay zeka sistemleri ve manuel kod incelemelerinden gizli kalma potansiyeline sahiptir.
Sorun, agentic yazılım geliştirme araçlarının, insan geliştiriciler tarafından yapılan normal kod değişikliklerini otomatik olarak yürütürken, bu değişikliklerin kaynağını ve niyetini tam olarak doğrulayamayışından kaynaklanmaktadır. Depo kurulum aşamasında çalıştırılan betiklerde gizlenen zararlı kodlar, sistem seviyesi erişim kazanabilmektedir.
Güvenlik açığının düzeltilmesi, yapay zeka kodlama ajanlarına yönelik daha sıkı yürütme kontrolü, depo imzalama mekanizmaları ve sandboxing uygulamalarının önemini vurgularken, aynı zamanda açık kaynak ekosisteminde güven mekanizmalarının yeniden değerlendirilmesi gerekliliğini ortaya koymaktadır.
