Yazılım dünyası “Vibecoding” (Yapay zeka asistanları ile kodlama) trendiyle eşi benzeri görülmemiş bir hız kazanırken, siber güvenlik uzmanları ve Bug Bounty avcıları için yepyeni bir saldırı yüzeyi ortaya çıktı. Geliştiriciler projelerini Cursor, Claude, Aider veya yerel LLM’ler ile inşa ederken, üretim ortamında unutulan küçük konfigürasyon dosyaları, sistemin tüm mimarisini altın tepside sunuyor.
Siber güvenlik araştırmacıları tarafından derlenen ve GitHub’da paylaşılan özel AI Wordlist, tam da bu unutulmuş dosyaları hedef alıyor. CUMBUR.NET okuyucuları, sızma testi uzmanları (Pentesters) ve SOC ekipleri için bu yeni nesil bilgi sızdırma vektörünün detaylarını ve istismar mantığını inceliyoruz.
⚡ Tehlikenin Boyutu: Bu Dosyalar Neden Kritik?
Bir web sunucusunda kök dizinde unutulan bir AI asistan dosyası, sıradan bir yedekleme (.bak) dosyasından çok daha tehlikelidir. Geliştiriciler yapay zekaya projenin bağlamını verebilmek için sistemin en mahrem detaylarını bu dosyalara beslerler.
Dizin tarama sırasında bulunabilecek bu dosyaların içerikleri şunları barındırabilir:
-
Sistem Mimarisi ve Teknoloji Yığını (Stack): Projenin hangi dillerle, hangi framework sürümleriyle yazıldığı.
-
Gizli Uç Noktalar (Hidden Endpoints): Henüz belgelenmemiş veya dışarıya kapalı olması gereken API rotaları.
-
Prompt Geçmişi: Geliştiricinin yapay zekaya sorduğu sorular ve AI’nin ürettiği kod blokları.
-
Kimlik Bilgileri (Credentials): Geliştiricinin test amaçlı AI’ya verdiği veya config dosyalarının içinde unuttuğu veritabanı şifreleri, AWS anahtarları veya API token’ları.
Kısacası bu dosyalar projenin sadece kaynak kodu değil, aynı zamanda “nasıl hacklenebileceğine” dair bir yol haritasıdır.
🛠️ AI Wordlist Hedefleri
| Hedef Dosya | Kullanım Amacı / Sızdırdığı Bilgi |
|---|---|
| .cursorrules | Cursor IDE’sinin projeye özel kuralları. Prompt komutlarını, mimari kuralları ve backend yapılarını içerir. |
| CLAUDE.md | Claude asistanı için proje bağlamını sağlayan dökümantasyon. Veritabanı şemaları ve API yollarını barındırabilir. |
| .aider.chat.history.md | Aider yapay zeka aracının geliştirici ile olan tüm sohbet geçmişi. Hassas kod blokları barındırır. |
| llms.txt / llms-full.txt | LLM’lerin okuması için optimize edilmiş, projenin tamamını veya kritik parçalarını anlatan markdown metinleri. |
| AGENTS.md | Çoklu AI ajanlarının görev dağılımını ve yetkilerini tanımlayan, workflow mimarisini ifşa eden dosyalar. |
🎯 Pentest ve Bug Bounty Uygulaması
Bu wordlist’i mevcut sızma testi araçlarınıza (ffuf, gobuster, dirsearch) entegre ederek, hedefin yapay zeka kullanıp kullanmadığını ve kritik dosyaları dışarı açık bırakıp bırakmadığını saniyeler içinde tespit edebilirsiniz.
Örnek ffuf Kullanımı:
# Wordlisti indirin wget https://raw.githubusercontent.com/cleverg0d/Wordlists/main/AI_wordlist.txt # ffuf ile hedefte tarama yapın ffuf -w AI_wordlist.txt -u https://hedef-site.com/FUZZ -mc 200,403
(Not: 403 Forbidden dönen dizinler de hedefin bu araçları kullandığını ve dosyanın orada olduğunu ancak sunucu tarafından korunduğunu gösterir. WAF/Bypass teknikleri için iyi bir başlangıç noktasıdır.)
🛡️ Savunma (Blue Team) İçin Ne Yapılmalı?
Geliştirme hızını artırmak elbette önemlidir, ancak vibecoding süreçleri güvenlikten taviz vermemelidir.
-
.gitignore Entegrasyonu: Kullanılan yapay zeka aracının ürettiği tüm bağlam, kural ve sohbet geçmişi dosyaları projeye başlandığı an
.gitignoredosyasına eklenmelidir. -
Web Sunucusu Kuralları: Nginx veya Apache konfigürasyonlarında,
.cursorrules,.aider*,CLAUDE.mdgibi dosyaların dışarıdan erişimine (deny all) kesinlikle izin verilmemelidir. -
CI/CD Boru Hattı Taraması: Üretime geçiş aşamasında, ortamda bu tür dosyaların kalıp kalmadığını denetleyen otomatik betikler yazılmalıdır.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
