Yapay zeka destekli tarayıcılar ve ajanlar, web görevlerini otomatikleştirerek kullanıcıların iş yükünü hafifletme vaadiyle geliyor. Sayfaları özetleyebiliyor, hesaplardan veri çekebiliyor ve hatta sizin yerinize tıklayıp yazı yazabiliyorlar. Ancak yeni araştırmalar, bu asistanların gerçeklik ile oyun arasındaki çizgiyi kaybettiğinde, kimlik bilgilerinizin ve hassas verilerinizin istenmeyen sonuçlara yol açabileceğini gösteriyor.
Araştırmacı Roy Paz, 'BioShocking' adını verdiği bir saldırı yöntemi geliştirdi ve ifşa etti. Bu teknik, AI tarayıcılarına kurgusal bir senaryoyu gerçekmiş gibi sunarak güvenlik önlemlerini terk etmeye ikna ediyor. BioShocking, prompt injection ve hedef manipülasyonu saldırılarının kesiştiği noktada yer alıyor. Prompt injection, AI modellerinin uygulama talimatları ile saldırgan talimatlarını ayırt edememesi nedeniyle çalışıyor. Hedef manipülasyonu saldırıları ise ajanın optimize etmesi gereken hedefi kademeli olarak değiştirerek 'kullanıcıya yardım et' talimatını 'oyunu ne pahasına olursa olsun kazan' haline dönüştürüyor.
BioShocking konsept kanıtında, saldırgan BioShock oyun evreni temalı, zararsız görünen bir web sayfası kontrol ediyor. Sayfa, AI ajanının kullanıcı adına çözmesi istenen bir bulmaca sunuyor. Ancak işin ilginç kısmı, bulmaca yanlış cevapları ödüllendiriyor ve ajana bu özel ortamda normal kuralların geçerli olmadığını açıkça belirtiyor. Son adımda ajan, bir GitHub deposunu ziyaret etmeye, kod içindeki şifreler veya kimlik bilgileri gibi hassas verileri bulmaya ve bunları oyunun bir parçası olarak paylaşmaya yönlendiriliyor. Altı ana akım AI tarayıcı ve eklentisi üzerinde yapılan testlerde (ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser ve Claude Chrome eklentisi), her bir ajan talimatları takip etti ve isteği reddetmedi.
BioShocking izole bir fenomen değil. AI ajanlarını hedef alan büyüyen bir saldırı sınıfının sadece bir örneği. OpenClaw'ın AI e-posta ajanı üzerinde yapılan yakın tarihli bir çalışma, temel kimlik avı taktiklerinin ajanı AWS kimlik bilgilerini ve müşteri kayıtlarını sızdırmaya ikna edebildiğini gösterdi. Ortak zayıf nokta, bu tarayıcıların kimliği doğrulanmış bağlamları nasıl ele aldığıdır. AI tarayıcı 'ajan modunda' çalıştığında, genellikle kullanıcının e-posta, kod depoları, bulut panoları, şifre yöneticileri gibi hassas platformlardaki oturum açma durumunu devralır. AI modelinin bakış açısından, bunlar sadece okunacak başka bir sayfa ve kopyalanacak başka alanlardır. Onlar için özel bir anlam ifade etmezler.
Detaylar ve Etkileri
Çevreleyen anlatı, kimlik bilgilerini kopyalamanın zararsız bir mücadelenin parçası olduğunu söylüyorsa, mevcut uygulamaların çoğu buna uyacaktır. Endişe verici olan, satıcıların yanıtı veya yanıt eksikliğidir. Paz, Ekim 2025'te altı etkilenen satıcıya BioShocking sorununu bildirdi. Rapora göre, üçü yanıt vermedi ve yalnızca OpenAI'ın ChatGPT Atlas'ı konsept kanıtını engelleyen bir düzeltme uyguladı. Anthropic, Claude Chrome eklentisini yamalamaya çalıştı, ancak bildirildiğine göre azaltma saldırı senaryosuna karşı etkisiz kaldı. Perplexity AI, raporlama sırasında sorunu düzeltme yapmadan kapattı.
Gelecekte Ne Bekleniyor?
Bu tehditler karşısında kullanıcıların alabileceği bazı önlemler var. AI tarayıcıları kullanırken, hassas hesaplara erişim iznini sınırlamak, oturum açma durumunu manuel olarak yönetmek ve güvenilir güvenlik yazılımları kullanmak önemli. Ayrıca, tarayıcı eklentilerini ve yapay zeka araçlarını güncel tutmak, bilinen güvenlik açıklarına karşı koruma sağlayabilir. Satıcıların daha hızlı ve etkili yanıt vermesi beklenirken, kullanıcıların da bilinçli olması gerekiyor.
Kaynak: malwarebytes.com