Siber güvenlik araştırmacıları, yapay zeka ajanlarını hedef alan yeni bir saldırı türü keşfetti. Zscaler ThreatLabz, kötü niyetli web sitelerine gizlenen istemlerin (prompt) AI ajanlarını para göndermeye veya sahte sitelere güvenmeye yönlendirdiğini belgeledi. Bu teknik, 'dolaylı istem enjeksiyonu' (indirect prompt injection) olarak adlandırılıyor: kötü niyetli metin, web sitesinin koduna, insan kullanıcıların görmeyeceği ancak AI ajanlarının okuyup potansiyel olarak eyleme geçireceği şekilde gizleniyor.
İlk kampanya, 'requests-secure-v2' adlı sahte bir Python kütüphanesini arayan AI kodlama asistanlarını hedef alıyor. Sahte site, meşru API dokümantasyonu gibi görünüyor ancak gizli istemler içeriyor. AI ajanı siteye girdiğinde, 'MissingLicenseKeyException' hatasını çözmek için 3 dolarlık bir 'geliştirici API lisans ücreti' ödemesi gerektiğini söyleyen gizli talimatlarla karşılaşıyor. Ödeme talimatları JSON-LD meta verilerine gömülüyor ve insan kullanıcıların görmemesi için CSS ile gizleniyor. Ayrıca site, 0.0012 ETH transferi başlatan JavaScript kodu da içeriyor. Ethereum cüzdanına daha önce de ödemeler yapıldığı görülüyor.
İkinci kampanya ise popüler DeFi portföy takipçisi DeBank'ı hedef alan bir yazım hatası tuzağı (typosquatting) operasyonu. debank[.]auction alan adı, DeBank ile ilgili aramalarda üst sıralara çıkmak için optimize edilmiş. Gizli istem, AI ajanlarına bu sitenin resmi DeBank hizmeti olduğunu söylüyor ve 'Auction' kelimesinden bahsetmemeleri talimatını veriyor. Zscaler, gerçek dünya etkisini ölçmek için 26 büyük dil modelini test etti. Dört model (Llama 3.3 70B, Llama 3.2 90B, Gemini 3 Flash, Gemini 2.5 Pro) birinci kampanyada ödeme yapmaya ikna edildi. İkinci kampanyada ise GPT-5.4 sahte siteyi meşru olarak sınıflandırırken, Claude Sonnet 4.5 de benzer bir hata yaptı. Ancak resmi DeBank alan adı referans olarak verildiğinde hiçbir model yanıltılamadı.
Bu araştırma, AI ajanlarının yalnızca istem düzeyinde değil, içerik düzeyinde de girdi doğrulamasına ihtiyaç duyduğunu gösteriyor. Web'den alınan her şey potansiyel olarak düşmanca kabul edilmeli. Kuruluşlar, ajan iş akışlarını kullanırken araç izinlerini dikkatlice kapsamlandırmalı; web'de gezinme izni olan bir ajanın varsayılan olarak sınırsız ödeme yürütme yetkisine sahip olmaması gerekiyor. Zscaler, AI ajanlarının yaygınlaşmasıyla web içeriğinin daha büyük bir saldırı yüzeyi haline geleceğini vurguluyor.