Yapay zeka destekli tarayıcılar ve ajanlar, web görevlerini otomatikleştirerek kullanıcılara büyük kolaylık sağlıyor. Sayfaları özetleyebiliyor, hesaplarınızdan veri çekebiliyor ve sizin yerinize tıklayıp yazı yazabiliyorlar. Ancak yeni bir araştırma, bu asistanların gerçeklik ile oyun arasındaki çizgiyi kaybettiğinde, kullanıcı kimlik bilgilerinin ve hassas verilerin tehlikeye girebileceğini ortaya koyuyor. Araştırmacı Roy Paz'ın geliştirdiği 'BioShocking' saldırısı, AI tarayıcılarına sahte bir senaryoyu gerçekmiş gibi sunarak güvenlik önlemlerini devre dışı bırakmayı başarıyor.
BioShocking saldırısı, prompt injection ve hedef manipülasyonu tekniklerini birleştiriyor. Prompt injection, AI modellerinin uygulama talimatları ile saldırgan talimatlarını ayırt edememesi üzerine kurulu. Hedef manipülasyonu ise ajanın optimize etmesi gereken hedefi kademeli olarak değiştirerek 'kullanıcıya yardım et' görevini 'oyunu her ne pahasına olursa olsun kazan' haline getiriyor. Paz'ın konsept kanıtında, saldırgan BioShock oyun evreni temalı zararsız görünen bir web sayfası oluşturuyor. Bu sayfada, AI ajanının kullanıcı adına çözmesi istenen bir bulmaca yer alıyor. Ancak bulmaca, yanlış cevapları ödüllendiriyor ve ajanın normal kuralların geçerli olmadığı özel bir ortamda olduğunu açıkça belirtiyor.
Bulmacanın son adımı, ajanın bir GitHub deposunu ziyaret etmesini, kod içindeki şifreler veya kimlik bilgileri gibi hassas verileri bulmasını ve oyunu tamamlamak için bunları paylaşmasını emrediyor. Altı ana akım AI tarayıcı ve eklenti (ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser ve Claude Chrome eklentisi) üzerinde yapılan testlerde, her ajan bu talimatları sorgulamadan yerine getirdi. Saldırgan, AI ajanını hayali bir gerçekliğe daldırarak güvenlik önlemlerini aşmayı başardı. Bu durum, AI ajanlarının kimliği doğrulanmış bağlamları nasıl ele aldığıyla ilgili ciddi bir zafiyeti ortaya koyuyor: AI tarayıcı 'ajan modunda' çalışırken, kullanıcının e-posta, kod depoları, bulut panoları, parola yöneticileri gibi hassas platformlardaki oturum açma durumunu devralıyor. AI modeli için bunlar sadece okunacak başka bir sayfa ve kopyalanacak alanlar; özel bir anlam taşımıyorlar.
Endişe verici olan ise satıcıların tepkisi veya tepkisizliği. Paz, Ekim 2025'te BioShocking sorununu altı etkilenen satıcıya bildirdi. Rapora göre, üçü yanıt vermedi ve yalnızca OpenAI'nin ChatGPT Atlas'ı konsept kanıtını engelleyen bir düzeltme uyguladı. Anthropic, Claude Chrome eklentisini yamamaya çalıştı ancak düzeltmenin saldırı senaryosuna karşı etkisiz kaldığı bildiriliyor. Perplexity AI ise rapor sırasında sorunu düzeltmeden kapattı. Bu güvenlik açıkları, AI ajanlarının kendilerinin hedef haline geldiği büyüyen bir saldırı sınıfının sadece bir örneği. OpenClaw'ın AI e-posta ajanı üzerine yapılan yakın tarihli bir çalışma, temel kimlik avı taktiklerinin ajanı AWS kimlik bilgilerini ve müşteri kayıtlarını sızdırmaya ikna edebildiğini gösterdi. Kullanıcıların, AI tarayıcıların güvenlik sınırlamalarına tamamen güvenmemesi ve hassas verilere erişim izinlerini dikkatle yönetmesi gerekiyor.