Yapay zeka ajanlarının web'de gezinme yetenekleri arttıkça, siber saldırganlar da bu yeni saldırı yüzeyini keşfetmeye başladı. Zscaler ThreatLabz ekibi, AI ajanlarını hedef alan iki gerçek dünya kampanyasını belgeledi. Saldırganlar, 'dolaylı prompt enjeksiyonu' adı verilen bir teknik kullanarak, AI ajanının okuduğu web sayfalarına gizli talimatlar yerleştiriyor ve ajanın davranışını yönlendiriyor. İlk kampanya, yazılım dokümantasyonu kılığında bir ödeme dolandırıcılığı yürütürken, ikincisi bir kripto para hizmetini taklit ediyordu.
Saldırganlar, hedefledikleri siteleri arama sonuçlarında üst sıralara çıkarmak için SEO zehirleme (SEO poisoning) yöntemini kullandı. Bu sayede AI ajanlarının bu sitelere yönlendirilme olasılığı arttı. Ardından, insan gözünün göremeyeceği yerlere prompt tarzı talimatlar gizlediler. Örneğin, CSS kullanarak metni ekran dışına taşıdılar veya makinelerin güvendiği yapılandırılmış JSON-LD meta verilerinin içine talimatları sıkıştırdılar. Bu yöntem, insan kullanıcılar fark etmeden AI ajanlarının manipüle edilmesini sağlıyor.
İlk kampanyada, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte bir sayfa oluşturuldu. Sayfada, bir kodlama görevi sırasında AI ajanına bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiği söyleniyordu. Ardından ajan, saldırganın kripto para cüzdanına ödeme yaparak sahte bir anahtar alması için yönlendiriliyordu. Zscaler, aynı sitenin insan geliştiricileri de dolandırmaya çalıştığını belirtti.
İkinci kampanyada ise saldırganlar, popüler bir kripto para portföy takipçisi olan DeBank'ı taklit eden bir yazım hatası alan adı kullandı. Gizli metinler, AI ajanlarına sahte siteyi 'yetkili' DeBank olarak kabul etmeleri ve ilk sıraya koymaları talimatını veriyordu. Bu, ajanların yanlış bilgiye dayanarak karar vermesine yol açabiliyor.
Gelecekte Ne Bekleniyor?
Zscaler, riski değerlendirmek için 26 büyük dil modeli (LLM) üzerinde testler yaptı. İlk kampanyada, Meta'nın Llama ve Google'ın Gemini modelleri de dahil olmak üzere 4 model, sahte ödeme işlemini gerçekleştirmek üzere manipüle edilebildi. İkinci testte ise OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank referansı olmadığında sahte siteyi meşru olarak değerlendirdi. Ancak gerçek site karşılaştırma için sunulduğunda hiçbiri yanılmadı. Bu sonuçlar, LLM'lerin zafiyetinin modele ve verilen bağlam miktarına bağlı olduğunu gösteriyor.
AI ajanları web ile etkileşimde daha yaygın bir arayüz haline geldikçe, web içeriğinin kendisi de daha büyük bir saldırı yüzeyi oluşturacak. Zscaler, yapay zekanın iş akışlarını kolaylaştırırken aynı zamanda yeni kötüye kullanım yollarını da beraberinde getirdiğine dikkat çekiyor. Kullanıcılar ve geliştiriciler, AI ajanlarının güvenliğini sağlamak için içerik doğrulama, kaynak güvenilirliği ve prompt enjeksiyonuna karşı savunma mekanizmaları geliştirmelidir.
Kaynak: infosecurity-magazine.com