Writer AI'da Kritik Güvenlik Açığı: Oturum Tokenları Sızdırıldı
Kurumsal üretken yapay zeka platformu Writer, farklı kiracıların (tenants) verilerini birbirine sızdırabilen kritik bir oturum izolasyon zafiyetiyle karşı karşıya kaldı. Sand Security Research ekibi tarafından WriteOut kod adıyla tanımlanan bu açık, saldırganların tek bir tıklama ile yetkisiz erişim sağlamasına ve oturum tokenlarını ele geçirmesine imkan tanıyordu.
WriteOut Zafiyeti Nasıl Çalışıyordu?
Söz konusu güvenlik açığı, platformun 'Agent Previews' (Ajan Önizlemeleri) özelliği üzerinden tetikleniyordu. Araştırmacıların tespitine göre, sistemdeki izolasyon hatası nedeniyle bir saldırgan, başka bir kurumsal müşteriye ait oturum tokenlarını sızdırarak hedef hesabın kontrolünü tamamen ele geçirebilirdi. Bu durum, kurumsal verilerin gizliliği ve güvenliği açısından yüksek risk teşkil eden bir 'cross-tenant' (kiracılar arası) saldırı vektörü oluşturuyordu.
Sistem Güncellemesiyle Kapatıldı
Siber güvenlik uzmanlarının raporlamasının ardından Writer ekibi hızla harekete geçerek ilgili açığı yamaladı. Platform tarafından yayınlanan güncellemeyle birlikte oturum izolasyonu güçlendirildi ve önizleme mekanizmasındaki sızıntı noktaları kapatıldı. Uzmanlar, kurumsal AI araçlarının entegrasyon süreçlerinde bu tür izolasyon hatalarının sıkça görülebileceği konusunda uyarırken, platformların düzenli olarak sızma testlerine tabi tutulmasının önemini vurguluyor.