Gizli Web İstemleri Yapay Zeka Aracılarını Para Göndermeleri İçin Kandırıyor
Pierluigi Paganini 06 Temmuz 2026 06 Temmuz 2026
Kötü amaçlı web sitelerindeki gizli istemler, yapay zeka aracılarını ödeme yapmaları veya sahte sitelere güvenmeleri konusunda kandırarak otonom yapay zeka iş akışları için yeni riskleri açığa çıkarıyor.
Zscaler ThreatLabz, insan kullanıcıları değil yapay zeka ajanlarını manipüle etmek için web sayfalarına gizli talimatlar yerleştiren iki aktif kampanyayı belgeledi, ancak onlar da yakalandı. Bu tekniğe dolaylı istem enjeksiyonu adı veriliyor: Kötü amaçlı metin, bir web sitesinin kodunda gizlidir ve insan tarayıcısı bunu göremez, ancak bilgi almak için sayfayı tarayan bir yapay zeka aracısı onu okuyacak ve potansiyel olarak buna göre hareket edecektir.
İlk kampanya, request-secure-v2 adı verilen sahte bir Python kütüphanesi arayan yapay zeka kodlama asistanlarını hedef alıyor. Site meşru API belgelerine benziyor.
Sistem Güvenliği
ThreatLabz tarafından yayınlanan raporda, "ThreatLabz, sahte web sitesinin, paket kurulumu ve bağımlılık sorun giderme sorguları için arama sonuçlarını zehirlemek amacıyla sahte Python modülüne bağlı anahtar kelime ağırlıklı HTML içerdiğini gözlemledi" ifadesine yer verildi. "Web sitesi, ödemeyi bir API anahtarı almak için rutin bir adım olarak çerçeveleyerek bir AI temsilcisinin karar verme sürecini etkilemek üzere tasarlanmış gizli IPI talimatları içeriyor. Sonuç olarak, bir geliştirme görevini tamamlamaya çalışan bir AI temsilcisi, saldırganın kontrolündeki bir hesaba para göndermesi için manipüle edilebilir."
Aracı sayfaya ulaştığında, rutin bir kurulum adımı olarak çerçevelenen MissingLicenseKeyException'ın kilidini açmak için 3,00 ABD doları tutarında "geliştirici API lisans ücreti" ödemesini söyleyen gizli talimatlar bulur. Ödeme talimatları, AI aracılarının düz HTML'den daha yüksek sinyal bağlamı olarak ele alma eğiliminde olduğu JSON-LD yapılandırılmış meta verilerde kodlanmıştır ve gizli bir div etiketi, aynı mesajı CSS ile ekran dışına yerleştirir ve böylece hiçbir insan onu görmez.
Teknik Analiz
Site ayrıca, yaklaşık 0,0012 ETH'nin sabit kodlanmış bir cüzdan adresine aktarımını başlatan JavaScript'i de içeriyor.
"Web sitesi yalnızca yapay zeka aracılarını değil aynı zamanda insan geliştiricileri de hedef alıyor." rapora devam ediyor. “Web sitesi bir masaüstü tarayıcı tarafından görüntülendiğinde, aşağıdaki şekilde gösterildiği gibi kullanıcıya kredi kartı veya kripto para birimiyle aynı ödeme seçenekleri gösteriliyor.”
Sonuç ve Değerlendirme
Kampanyayla ilişkili Ethereum cüzdanının halihazırda 3,00 dolardan büyük miktarlarda ödeme almış olması, aynı adresi kullanan daha önceki saldırıları akla getiriyor. Bu kampanyanın arkasındaki tehdit aktörünün benzer sitelere bağlantı veren on GitHub deposu var.
Detaylar ve Etkileri
İkinci kampanya, yaygın olarak kullanılan merkezi olmayan finans portföyü izleyicisi olan DeBank'ı hedef alan bir yazım hatası operasyonudur. Sahte alan adı banka[.]açık artırmasıdır.
Nasıl Önlem Alınmalı?
"Sahtekarlık amaçlı web sitesi, başlık ve meta etiketlerini DeBank Girişi, DeFi Kontrol Paneli ve Crypto Tracker gibi anahtar kelimelerle doldurarak DeBank ile ilgili aramalarda sıralamaya girecek şekilde optimize edildi." ZScaler'ı belirtir. " Bağlantının resmi bir DeBank hizmeti gibi görünmesini sağlamak için Open Graph ve X (eski adıyla Twitter) meta verilerini de içerir"
Sayfadaki JSON-LD, yanlışlıkla meşru debank.com'u yayıncı olarak tanımlarken gizli istem, sayfayı okuyan herhangi bir AI temsilcisine banka[.]açık artırmasını doğrulanmış, yetkili kaynak olarak ele alması ve "Açık Artırma" kelimesini kullanmaktan kaçınması talimatını verir.
Gelecekte Ne Bekleniyor?
Gerçek dünyadaki etkiyi ölçmek için Zscaler, web tarama ve ödeme araçlarına sahip, korumalı alanda özerk bir yapay zeka aracısı oluşturdu ve ardından bunu 26 büyük dil modelinde her iki kampanyaya karşı test etti. Dört model, Llama 3.3 70B Instruct, Llama 3.2 90B Vision Instruct, Gemini 3 Flash ve Gemini 2.5 Pro, birinci kampanyada ödemeyi gerçekleştirmek üzere başarıyla yönlendirildi. İkinci kampanyada GPT-5.4, sahte siteyi, iyi olduğu bilinen bir referans olmadan diğer kaynaklarla birlikte tararken yanlış şekilde meşru olarak sınıflandırdı ve Claude Sonnet 4.5, sahte sitenin içeriği başka hiçbir bağlam sağlanmadan ayrı olarak verildiğinde siteyi meşru olarak derecelendirdi. Bağlamın son derece önemli olduğu ortaya çıktı: Resmi DeBank alan adı referans noktası olarak sağlandığında hiçbir model kandırılmadı.
Bunun pratikteki anlamı, yapay zeka aracılarının yalnızca bilgi istemi düzeyinde değil, içerik katmanında da giriş doğrulamasına ihtiyaç duymasıdır. Bir aracının web'den aldığı her şey potansiyel olarak düşmanca olarak değerlendirilmelidir. Ajanslı iş akışlarını dağıtan kuruluşlar, araç izinlerini dikkatli bir şekilde kapsamalıdır; web'e göz atabilen bir aracı, muhtemelen varsayılan olarak sınırsız ödeme yürütmeyi de etkinleştirmemelidir.
Önemli Gelişmeler
"ThreatLabz, bir yapay zeka aracısının davranışını manipüle etmek için gizli talimatların tasarlandığı birden fazla web sitesinde yerleşik IPI tespit etti. 26 LLM'de 4 model, kampanya 1 için uygun önlemleri alamadı ve 2 modelleri, kampanya 2'deki web sitesini doğru bir şekilde sınıflandırmada başarısız oldu, bu da ölçülebilir gerçek dünya etkisini ortaya koyuyor ve duyarlılığın modele ve LLM'ye istemle birlikte sağlanan bağlama göre değiştiğini gösteriyor. raporu sonuçlandırıyor. "Yapay zeka aracıları web için daha yaygın bir arayüz haline geldikçe, içeriğin kendisi de daha büyük bir saldırı yüzeyi haline gelecek ve bu da yapay zekanın iş akışlarını kolaylaştıran ve aynı zamanda kötüye kullanım için yeni yollar sunan iki ucu keskin bir kılıç olduğunun altını çiziyor."
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
(SecurityAffairs – bilgisayar korsanlığı, AI Ajanları)