JetBrains, Marketplace’te yer alan 15 üçüncü taraf yapay zekâ eklentisini güvenlik gerekçesiyle kaldırdı. Şirket, bu eklentilerin kullanıcıların girdiği AI servis API anahtarlarını hedef aldığını belirterek geliştiricilere anahtarlarını hemen iptal etmeleri çağrısı yaptı.
JetBrains Marketplace’te yayımlanan bazı yapay zekâ eklentileri, geliştiricilerin kullandığı API anahtarlarını hedef alan ciddi bir güvenlik riskiyle gündeme geldi. JetBrains, yaptığı güvenlik güncellemesinde 15 üçüncü taraf eklentinin Marketplace’ten kaldırıldığını, 7 yayıncı hesabının kapatıldığını ve söz konusu eklentilerin IDE tarafında uzaktan devre dışı bırakıldığını duyurdu.
Şirketin açıklamasına göre risk, özellikle 17 Haziran 2026’dan önce bu eklentileri yükleyen ve eklenti ayarlarına OpenAI, DeepSeek, SiliconFlow veya benzeri yapay zekâ servislerine ait API anahtarlarını giren kullanıcıları ilgilendiriyor. JetBrains, bu durumda anahtarların “maruz kalmış kabul edilmesi” ve hemen iptal edilmesi gerektiğini belirtiyor.
Rehber
Sorun nasıl ortaya çıktı?
JetBrains’in aktardığına göre güvenlik raporları 16 Haziran 2026’da şirkete ulaştı. Bunun ardından ilgili eklentiler Marketplace’ten kaldırıldı, bu eklentileri yayımlayan hesaplar kapatıldı ve kullanıcıların IDE’lerinde bu araçların çalışmasını engellemek için uzaktan devre dışı bırakma adımı atıldı.
Bağımsız güvenlik araştırmacılarının raporlarına göre kampanyanın yaklaşık 70 bin kurulum topladığı tahmin ediliyor. Ancak bu sayı, tüm kurulumlarda API anahtarının gerçekten çalındığı anlamına gelmiyor. Bu nedenle olayın kapsamı için “70 bin kişi etkilendi” gibi kesin bir ifade kullanmak doğru değil.
API anahtarları nasıl hedef alındı?
JetBrains’in teknik açıklamasına göre zararlı eklentiler, kullanıcı eklenti ayarlarına kişisel yapay zekâ servis anahtarını girip “Apply” dediğinde devreye giriyordu. Eklenti, arka planda yetkisiz bir fonksiyon çalıştırarak girilen anahtarı yakalıyor ve bunu dışarıya göndermeye çalışıyordu.
Raporda dikkat çeken en kritik ayrıntılardan biri, anahtarların düz metin JSON yükü olarak şifrelenmemiş HTTP üzerinden belirli bir IP adresine gönderilmesiydi. Ayrıca eklentilerin bazı bağlantı uyarılarını gizlemek için JVM seviyesinde özel bir sertifika doğrulama yapısı kullandığı da belirtiliyor.
Bu tablo, olayın basit bir “hatalı eklenti” vakası olmadığını; geliştiricilerin yapay zekâ servislerine erişim sağlayan hassas anahtarlarını hedef alan planlı bir saldırı olduğunu gösteriyor.
Hangi kullanıcılar risk altında?
Bu olay özellikle JetBrains tabanlı IDE kullanan geliştiricileri ilgilendiriyor. IntelliJ IDEA, PyCharm, WebStorm, PhpStorm veya diğer JetBrains araçlarında üçüncü taraf AI eklentileri kullanan kişiler, yükledikleri eklentileri kontrol etmeli.
Risk, yalnızca eklentiyi indirmiş olmakla sınırlı olmayabilir. Asıl kritik nokta, bu eklentilerden birine OpenAI, DeepSeek, SiliconFlow veya benzeri servislerin API anahtarını girip girmediğiniz.
Eğer böyle bir anahtar girildiyse, JetBrains bu anahtarların güvenli kabul edilmemesi gerektiğini söylüyor.
Etkilenen geliştiriciler ne yapmalı?
JetBrains’in uyarısı net: Bu eklentilerden birini kullandıysanız ilgili API anahtarını hemen iptal edin ve yeni bir anahtar oluşturun.
Geliştiricilerin şu adımları izlemesi öneriliyor:
- JetBrains IDE içinde yüklü üçüncü taraf AI eklentilerini kontrol edin.
- Şüpheli veya kaldırılmış eklentileri silin.
- OpenAI, DeepSeek, SiliconFlow veya kullandığınız diğer AI servislerinde eski API anahtarlarını iptal edin.
- Yeni API anahtarı oluşturun.
- API kullanım loglarını kontrol ederek olağan dışı istek veya harcama olup olmadığına bakın.
- Kurumsal ekiplerde güvenlik duvarı, DNS ve ağ logları üzerinden şüpheli bağlantıları inceleyin.
- Proje depolarında yanlışlıkla saklanmış gizli anahtar olup olmadığını tarayın.
Bu adımlar özellikle ekip halinde çalışan yazılım şirketleri için daha kritik. Çünkü tek bir API anahtarının ele geçirilmesi, yüksek faturalara, veri sızıntısı riskine veya yetkisiz model kullanımına yol açabilir.
JetBrains’in kendi sistemleri hacklendi mi?
JetBrains, olayın kendi çekirdek kaynak kodunun, geliştirme ortamlarının veya kurumsal altyapısının ele geçirilmesi anlamına gelmediğini belirtiyor. Sorun, Marketplace’te yer alan üçüncü taraf eklentiler üzerinden ortaya çıkmış görünüyor.
Yani burada ana risk, JetBrains’in kendisinden çok, kullanıcıların yüklediği eklentilere emanet ettiği API anahtarlarıyla ilgili.
Yapay zekâ eklentilerinde güvenlik riski büyüyor
Son dönemde yazılımcılar, kod tamamlama, test yazma, commit mesajı oluşturma ve hata ayıklama gibi işler için yapay zekâ destekli eklentileri daha fazla kullanıyor. Bu araçların çoğu, kullanıcının kendi API anahtarını eklentiye tanımlamasını istiyor.
Tam da bu nokta yeni bir saldırı alanı oluşturuyor. Çünkü kötü niyetli bir eklenti, doğrudan şifre veya banka bilgisi istemese bile API anahtarı üzerinden ciddi zarar verebilir. Özellikle ücretli AI servislerinde ele geçirilen bir anahtar, saldırganlar tarafından yüksek hacimli istekler için kullanılabilir.
Bu nedenle geliştiricilerin artık yalnızca “eklenti işe yarıyor mu?” sorusunu değil, “bu eklenti hangi verilere erişiyor?” sorusunu da sorması gerekiyor.
Petabayt yorumu
JetBrains Marketplace olayı, yapay zekâ araçlarının yazılım geliştirme süreçlerine hızla girmesinin güvenlik tarafında yeni boşluklar oluşturduğunu gösteriyor. Bugüne kadar tarayıcı eklentileri ve mobil uygulamalar için konuştuğumuz “güvenilir geliştirici” meselesi, artık IDE eklentileri için de aynı derecede önemli.
Özellikle AI eklentileri, doğrudan API anahtarıyla çalıştığı için sıradan bir tema veya küçük yardımcı araçtan daha riskli olabilir. Bu yüzden geliştiricilerin mümkün olduğunca resmi, açık kaynaklı, iyi denetlenmiş ve güvenilir yayıncılardan gelen araçları tercih etmesi gerekiyor.
JetBrains’in hızlı şekilde eklentileri kaldırması ve uzaktan devre dışı bırakması önemli bir adım. Ancak olay, geliştiriciler için daha kalıcı bir ders bırakıyor: API anahtarları, şifre kadar hassas kabul edilmeli ve üçüncü taraf araçlara verilmeden önce iki kez düşünülmeli.
Kaynaklar:
JetBrains resmi güvenlik güncellemesi: https://blog.jetbrains.com/platform/2026/06/marketplace-ecosystem-security-update-malicious-ai-plugins/
Aikido Security raporu: https://www.aikido.dev/blog/multiple-jetbrains-ide-plugins-caught-stealing-ai-keys
SSS
JetBrains hangi eklentileri kaldırdı?
JetBrains, Marketplace’te yer alan 15 üçüncü taraf AI eklentisini kaldırdı. Listede DeepSeek ve CodeGPT adını taşıyan bazı sahte veya kötü niyetli eklentiler de bulunuyor.
Bu olay JetBrains’in hacklendiği anlamına mı geliyor?
Hayır. JetBrains, kendi çekirdek kaynak kodu, geliştirme ortamları veya kurumsal altyapısının ele geçirilmediğini belirtiyor. Risk, üçüncü taraf eklentiler üzerinden ortaya çıktı.
Bu eklentileri kullandıysam ne yapmalıyım?
İlgili eklentiyi kaldırmalı, bu eklentiye girilen API anahtarlarını hemen iptal etmeli, yeni anahtar oluşturmalı ve kullanım loglarını kontrol etmelisiniz.
OpenAI API anahtarım risk altında olabilir mi?
Eğer kaldırılan eklentilerden birine OpenAI API anahtarınızı girdiyseniz, bu anahtarı güvenli kabul etmemek ve hemen yenilemek en doğru adım olur.
AI eklentileri güvenli mi?
Her AI eklentisi riskli değildir. Ancak API anahtarı isteyen eklentiler daha dikkatli incelenmelidir. Güvenilir yayıncı, resmi kaynak ve kullanıcı yorumları kontrol edilmeden hassas anahtarlar paylaşılmamalıdır.