Sunucuların uğultusu, veri merkezindeki yanıp sönen ışıklar… Sürekli süren görünmez savaşı unutmak kolay. Ama bu hafta o savaş açığa çıktı ve her yapay zeka geliştiricisinin kulak kesilmesini gerektirecek türden.
Hackerlar LiteLLM‘deki devasa güvenlik açığından yararlanıyor; büyük dil modelleriyle çalışan geliştiriciler arasında neredeyse her yerde kullanılan açık kaynak bir proje. Sözkonusu CVE-2026-42208, siber suçlular için adeta açık bir davetiye olan leziz bir SQL enjeksiyon zafiyeti. En kötüsü? İçeri girmek için hatta giriş bile yapmaları gerekmiyor.
LiteLLM’yi yapay zeka modelleriniz için nihai bir konuksever gibi düşünün. OpenAI, Anthropic ya da Bedrock ile tek bir akıcı arayüz üzerinden sohbet etmenizi sağlıyor. Geliştiriciler onu seviyor çünkü her şeyi basitleştiriyor; tek bir API ile bir sürü yapay zeka beynini yönetebiliyorsunuz. Yapay zeka çağının evrensel kumandası gibi bir şey. GitHub’da 45 bin yıldızı var, yani bu araç gerçekten tutmuş. Ama güçlü bir araç gibi, düzgün korunmazsa başa bela olabilir.
Peki exploit ne? SQL enjeksiyonu. Veritabanına belirli bir komut verip bilgi çektiğinizi düşünün, ama temiz bir istek yerine içine gizlenmiş kötü niyetli bir komut sokuşturuyorsunuz. LiteLLM, API anahtarınızı doğrulamak için acele ederken veritabanı sorgularını ham dizgilerle birleştiriyormuş. Kötü alışkanlık. Bu sayede saldırganlar özel bir ‘Authorization’ başlığı tasarlayıp herhangi bir LiteLLM API rotasına gönderebiliyor ve veritabanını sırlarını dökmeye ikna edebiliyor. Hangi sırlar mı? Tabii ki API anahtarlarınız, sanal anahtarlarınız, usta anahtarlarınız, ortam değişkenleri, yapılandırma sırları — yapay zeka altyapınızın krallık anahtarları.
Sanki ön kapıyı ardına kadar açık bırakıp ‘Değerliler Burada’ yazmışsınız gibi.
Konuyu derinlemesine inceleyen güvenlik araştırmacıları Sysdig, açığın herkese açıklanmasından tam 36 saat sonra sömürülerin başladığını fark etti. Bu tembel bir gezinti değil; tam gaz bir koşu. Saldırganlar sadece kurcalamadı; cerrahi hassasiyetle hareket ettiler. Özel hazırlanmış istekleri doğrudan ‘/chat/completions’ uç noktasına yolladılar ve kötü niyetli ‘Authorization: Bearer’ başlıkları rastgele değildi. Değerli API anahtarları ve sağlayıcı kimlik bilgilerini barındıran belirli tabloları taradılar. Dijital altının nerede gömülü olduğunu tam olarak biliyorlardı.
Hackerlar da zeki. Orada durmadılar. İlk taramadan sonra IP adreslerini değiştirdiler — klasik bir kaçınma taktiği — ve öğrendikleri bilgilerle tam tabloları hedef alan daha kesin saldırılarla geri döndüler. Geniş kapsamlı vandalizmden lazer odaklı hırsızlığa geçtiler. Bu bir script kiddy değil; organize, kasıtlı bir faaliyet.
Görünmez Zincir: Tedarik Zinciri Saldırıları ve Yapay Zeka
LiteLLM’nin son zamanlarda zaten hedefte olduğunu söylemek daha da rahatsız edici. TeamPCP hackerları, Python kodunun dağıtım sistemi PyPI’ye kötü niyetli paketler saldı ve bilgi hırsızı yaydı. Bu bir tedarik zinciri saldırısı; geliştiricilerin güvendiği ekosistemi doğrudan vuruyor. Yani sadece doğrudan bir zafiyet yok, proje kendisi daha geniş bir ihlal için hedef alınmış. Çifte darbe yani.
Bu olay, izlediğim temel bir değişimi vurguluyor: Yapay zeka artık sadece bir yazılım parçası değil; bir platform değişimi. Uygulamaları bilgisayarın üzerine kurmaktan öteye geçiyoruz; uygulamalar kendisi yeni, akıllı bir hesaplama biçimi oluyor. İnternet ya da mobil devrim gibi, bu yeni platform da kendi deprem gibi güvenlik sorunlarını getiriyor. Saldırganlar, temel yapay zeka araçlarını ele geçirmenin bireysel uygulamalara saldırmaktan çok daha kârlı olduğunu fark ediyor.
Sysdig, operatörün sırların saklandığı yere doğrudan gittiğini belirtti; bu da saldırganın tam olarak neyi hedefleyeceğini bildiğinin güçlü bir işareti.
Bu sadece LiteLLM’le ilgili değil. Bu bir sinyal. Yapay zeka modelleri finans sistemlerinden sağlığa kritik altyapıya entegre oldukça, bunları yöneten araçlardaki zafiyetleri bulup sömürme teşviki roket gibi yükselecek. Veri için değil, yapay zeka destekli sistemleri açan anahtarlar için bir altın avı görüyoruz.
Bunu Görmezden Gelseniz Becerir misiniz?
Bakımcılar halihazırda 1.83.7 sürümünde düzeltmeyi yayınladı; savunmasız dize birleştirmeden güvenli, parametreli sorgulara geçti. Dijitalde sızdıran bir barajı yamanın karşılığı. Ama sorun şu: Hâlâ eski, savunmasız kodu çalıştıran kaç örnek var? Sysdig, hâlâ savunmasız olan açık LiteLLM örneklerini ele geçirilmiş sayın diyor. Bu da içindeki her API anahtarı, sanal anahtar ve sağlayıcı kimliğini döndürmeniz gerektiği anlamına geliyor. Dev bir iş; acil bir yıkım ve yeniden inşaat gibi bir dijital bahar temizliği.
Hemen yükseltemeyenler için — ki dürüst olalım, şu an bir sürü ekip telaş içinde — geçici çözüm var: general_settings altında disable_error_logs: true ayarını yapmak. Kötü niyetli girdilerin yolunu kesen geçici bir kilit gibi. İdeal değil ama yama uygulanana kadar kalkan.
Şu var: Bu sadece teknik bir hata değil. Yapay zeka geliştirmenin hâlâ vahşi batı olabildiğinin belirtisi. İnanılmaz güçlü sistemler kuruyoruz, genellikle nefes nefese bir hızla ve bazen güvenlik yeniliğin gerisinde kalıyor. LiteLLM olayı, temelin ne kadar önemli olduğunun çıplak bir hatırlatıcısı. Yapay zekayı orkestre eden araçlar kırılgan olursa, üzerlerine kurduğumuz bütün yapı risk altında.
Zihniyet değiştirmeliyiz. Yapay zeka çağında güvenlik eklenti değil; temel bileşen. ‘Eğer’ bu sistemler hedef alınacak mı değil; ‘ne zaman’ ve ‘ne kadar etkili’. Tehdit aktörleri zaten niyet ve yeteneği gösteriyor. Gelecek burada, inanılmaz heyecan verici ama şimdiye dek görmediğimiz bir güvenlik uyanıklığı talep ediyor.
🧬 İlgili İçgörüler
- Daha fazla oku: Agentic SOC: Security’s Shiny New Buzzword?
- Daha fazla oku: Edge Decay: Attackers Are Breaching Your ‘Secure’ Firewall First
Sıkça Sorulan Sorular
LiteLLM nedir? LiteLLM, geliştiricilerin birden fazla büyük dil modeli (LLM) ile tek birleşik API üzerinden etkileşim kurmasını sağlayan açık kaynak bir proxy ve SDK’dır. Çeşitli yapay zeka modellerini uygulamalara entegre etmeyi basitleştirir.
LiteLLM nasıl sömürüldü? Hackerlar LiteLLM’deki SQL enjeksiyon zafiyetini (CVE-2026-42208) kullandı. Özel hazırlanmış bir Authorization başlığı göndererek kimlik doğrulamayı atlattılar ve proxy’nin veritabanına yetkisiz erişim sağlayarak API anahtarları ve sırları çalabildiler.
LiteLLM kullanıyorsam uygulamanım savunmasız mı?
1.83.7 sürümünden önceki bir LiteLLM kullanıyorsanız uygulamanız potansiyel olarak savunmasız. En son sürüme hemen yükseltmek ya da önerilen geçici çözümü (disable_error_logs: true) uygulamak ve LiteLLM içinde saklanan hassas kimlik bilgilerini döndürmek şiddetle tavsiye edilir.
