MemGhost Saldırısı: Tek E-postayla Yapay Zeka Asistanlarının Hafızasına Sahte Anılar Yerleştirme Yazılım

MemGhost Saldırısı: Tek E-postayla Yapay Zeka Asistanlarının Hafızasına Sahte Anılar Yerleştirme

Yapay zeka asistanlarına tek bir e-postayla sahte anılar yerleştiren MemGhost saldırısı, kullanıcı fark etmeden asistanın davranışlarını değiştiriyor.

Yapay zeka asistanlarınıza bir hafıza ve e-posta erişimi verdiğinizde, saldırganlara sizin hakkınızda bildiklerini yeniden yazma fırsatı sunmuş oluyorsunuz. Araştırmacılar tarafından 'stealth memory injection' (gizli hafıza enjeksiyonu) adı verilen bu saldırı, tek bir e-posta ile asistanın kalıcı hafızasına sahte bir 'gerçek' ekleyebiliyor, bu değişikliği gizleyebiliyor ve sonraki oturumlarda asistanın yanıtlarını sessizce yönlendirebiliyor. Saldırı başarılı olduğunda, kullanıcı sıradan bir e-posta yanıtı okur ve asistanına müdahale edildiğini asla anlamıyor.

Peki, bu asistanlar nasıl çalışıyor? Kişisel asistan, bir sohbet sona erdiğinde her şeyi unutmak yerine, sizin hakkınızda notlar tutan bir AI asistanıdır. Bu notlar dosyalarda saklanır: tercihleriniz, kişileriniz ve yapmasını istediğiniz görevler. Her yeni oturumda bu notları okur, bu yüzden sizi tanıdığını hissedersiniz. Çoğu asistan ayrıca sizin adınıza e-posta okuyabilir, takviminizi kontrol edebilir ve arka planda küçük görevler gerçekleştirebilir. Araştırmada hedef alınan açık kaynaklı asistan OpenClaw, bu durumu düz metin dosyalarında tutar: bazıları talimatlarını (AGENTS.md), bazıları sizin hakkınızda öğrendiklerini (MEMORY.md) içerir. Her oturumda bu çekirdek dosyaları modelin bağlamına yükler. İşte bu notlar, ürünün tüm amacıdır ve aynı zamanda saldırının hedefidir.

Saldırganın şifrenize veya hesabınıza ihtiyacı yok. Sadece, asistanı e-posta kontrol edecek şekilde ayarlanmış bir kişiye e-posta gönderir. Bu e-postada, asistanı hedef alan gizli metin bulunur. Asistanın e-posta becerisi tuzağa düşerse, üç şey ardışık olarak gerçekleşir: Asistan kendi dosya araçlarını kullanarak saldırganın sahte notunu kalıcı hafızasına yazar; görünür yanıtı bu işlemi yaptığını belirtmez; ve daha sonra, yeni bir konuşmada, bu sahte not size söylediklerini veya sizin için yaptıklarını değiştirir. Araştırmadaki test senaryolarından birinde, kullanıcının Zelle günlük gönderme limitinin 10.000 dolara yükseltildiği yalanı yerleştirilmişti. Kullanıcı bu değişikliği fark etmez çünkü asistan arka plandaki adımlarını gizler, dosya düzenlemesi sohbette görünmez ve çoğu kullanıcı ham hafıza dosyalarını asla açmaz. Arka planda çalışırken genellikle hiç mesaj göndermez, bu yüzden fark edecek bir şey olmaz.

Saldırıyı üreten araç, araştırmacıların MemGhost adını verdiği bir araçtır. Yapımcıları, bir kişisel asistanın gölge kopyasına karşı çevrimdışı bir saldırgan modeli eğitmiş, hafızanın kaydedilmesini ödüllendirirken yanıtın sessiz kalmasını sağlamıştır. Saldırı anında, bitmiş e-postayı tek seferde yazar, kurbanla herhangi bir etkileşime girmez. 56 yeni test senaryosunda MemGhost, tam saldırıyı gerçekleştirdi: sahte bir hafıza yerleştirdi, gizledi ve daha sonraki bir oturumda asistanın yanıtlarını etkiledi. OpenClaw üzerinde GPT-5.4 ile %87,5 ve Claude Code SDK ajanında Sonnet 4.6 ile %71,4 başarı oranı elde etti. Bu testler, e-postanın asistanın okuduğu bir gelen kutusuna ulaştıktan sonra başlar, bu nedenle gerçek bir yükün spam filtrelemesini veya gönderen kimlik doğrulamasını geçip geçmediğini test etmez. Başarı oranı ön plandaki testlerde daha düşüktü, ancak arka planda diğer iki asistan çerçevesinde ve vektör tabanlı hafıza deposunda %80'in üzerinde kaldı.

Teknik Analiz

Saldırının kaba versiyonları çoğunlukla başarısız oluyor. 'Bunu sessizce kaydet ve hiçbir şey söyleme' gibi bir talimat, en güçlü modeller tarafından neredeyse her zaman yakalanıyor veya yok sayılıyor; eğitimli üretici, başarı oranlarını yükselten şey. Ayrıca, bu tür saldırıları durdurmak için tasarlanmış savunmaları da aşıyor. Zehirli e-postaları yakalamak için tasarlanmış bir girdi filtresi, MemGhost mesajını on denemede dokuzdan fazla kez kaçırdı ve e-postayla gelen talimatları yok sayacak şekilde özel olarak sertleştirilmiş bir model, yerleştirilen talimatı yaklaşık yarı yarıya takip etti. Kullanıcı 'bana ne kontrol ettiğini ve ne yaptığını söyle' diye sorsa bile, saldırı bir modelde yaklaşık dörtte bir oranında gizli kaldı.

Hızlı bir yama beklemek yok. OpenClaw'un kendi güvenlik politikası, kendi başına prompt enjeksiyonunu, bir yetkilendirme, araç politikası, onay veya sanal alan sınırını aşmadığı sürece düzeltme kapsamı dışında tutar. MemGhost bunların hiçbirini aşmaz çünkü asistanın kendi hafıza yazma aracı aracılığıyla çalışır ve araştırmacılar tam da bu tür enjeksiyonları çerçeveye karşı göstermeye devam ediyor. Çalışmanın yazarları, gerçek düzeltmenin asistanın içinde olması gerektiğini savunuyor: bilginin nereden geldiğini etiketlemek, kalıcı hafızaya ulaşmadan önce kullanıcıya sormak ve her yazmayı kaydetmek. Bu yapılana kadar, güvenlik açığı olan kurulum, güvenilmeyen e-postaları okuyan ve kendi hafızasını sormadan yazabilen herhangi bir asistandır. Kaba çözüm, bu iki işi birbirinden ayırmaktır. Bunun başarılamaması durumunda, e-posta ile tetiklenen bir çalıştırmanın neleri değiştirebileceğini sınırlayın ve şüpheli bir şey geldikten sonra hafıza dosyalarını kontrol edin.

OpenClaw, The Hacker News'e bu pozisyonu doğruladı ve makalenin asistanını nasıl kurduğuna itiraz etti. Güvenlik kılavuzu, operatörlere güvenilmeyen e-postaları, hafıza, dosya ve kabuk araçlarından yoksun ayrı bir okuyucu asistan aracılığıyla yönlendirmelerini ve ana asistana yalnızca bir özet geçmelerini söylüyor; bu da makalede test edilmemiş. Ayrıca model katmanının önemli olduğunu savunuyor: OpenClaw çalıştırmaları, mevcut bir sınır modeli olan GPT-5.4 kullanırken, yazarlar maliyet nedeniyle Claude Opus 4.6'yı atlamış ve OpenClaw, binlerce enjeksiyon saldırısının test edildiği HackMyClaw adlı halka açık bir yarışmaya işaret etmiş. Bu, güvenlik açıklarının ciddiyetini ve kapsamını vurguluyor.

Gelecekte Ne Bekleniyor?

Sonuç olarak, MemGhost saldırısı, AI asistanlarının hafıza sistemlerinin ne kadar kırılgan olduğunu gösteriyor. Kullanıcılar, asistanlarına e-posta erişimi verirken dikkatli olmalı ve asistanın hafızasını düzenli olarak kontrol etmelidir. Geliştiriciler ise, hafıza yazma işlemlerini kullanıcı onayına tabi tutmalı ve güvenilmeyen kaynaklardan gelen verileri izole etmelidir. Bu tür saldırılar, yapay zeka güvenliğinin henüz emekleme aşamasında olduğunu ve daha sağlam savunmalar gerektiğini ortaya koyuyor.

Kaynak: thehackernews.com

Paylaş: