Infosecurity Europe 2026'da konuşan OWASP katılımcısı Ariel Fogel, prompt enjeksiyonunun yapay zeka gelişimini engelleyebilecek çözülmemiş bir mimari sorun olduğunu söyledi. Pillar Security'nin CTO ofisinde AI güvenlik araştırmacısı olan Fogel, AI ve güvenlik uzmanlarının uzun süredir prompt enjeksiyonunun farkında olmasına rağmen, sorunun temel düzeyde henüz çözülmediğini belirtti. Bunun nedeni, büyük dil modellerinin (LLM'ler) girdileri tek bir token dizisi olarak işlemesi ve sistem promptları, kullanıcı sorguları ile bir ajan tarafından alınan içerik arasında ayrıcalık sınırlarını zorlayacak güvenilir bir mekanizmanın bulunmaması.
Fogel, ajanların araçlar ve hareket etme yeteneği kazanmasıyla bu sorunun daha da tehlikeli hale geldiği konusunda uyardı. Pratik riskin değiştiğini açıklayan Fogel, başarılı bir enjeksiyonun artık sadece kötü bir yanıt üretmekle kalmayıp gerçek dünyada bir dizi eylemi tetikleyebileceğini söyledi. Günümüzde ajan AI iş akışlarıyla, araç erişimi olan ajanlar kullanıcı adına adımlar atabildiğinden, bir enjeksiyon kötü çıktıdan aktif bir ihlale dönüşebiliyor. 'Çoğu kuruluş, ajanları yönetebildiklerinden daha hızlı devreye alıyor,' diyen Fogel, bu hız ve ölçeğin prompt enjeksiyonunu geleneksel kontrollerle kontrol altına almayı zorlaştırdığını savundu.
İnsan operatörler için işe yarayan savunmaların (örneğin sanal alan, izin listeleri ve manuel inceleme) bir ajan yürütücü olduğunda başarısız olabileceğine dikkat çeken Fogel, bazı prompt enjeksiyon saldırılarında izin listelerinin aslında sömürüyü kolaylaştırdığını, çünkü ajanın ihtiyaç duyduğu komutların zaten onaylanmış olduğunu söyledi. Diğer durumlarda ise ajanın kendi çıktısı, sanal alan sınırlarını yeniden tanımlayarak onu durdurması amaçlanan kapsamı fiilen yeniden yazdı. Bu durum, ajan AI'nın 'Ölümcül Üçlüsü' olarak adlandırılan konsepti gündeme getiriyor.
Nasıl Önlem Alınmalı?
Fogel, son bir yılda bu sorunla başa çıkmak için 'girişimlerde' bulunulduğunu kabul etti. Ünlü açık kaynak geliştiricisi Simon Willison tarafından ortaya atılan 'Ölümcül Üçlü' kavramı, bir AI ajanının özel verilere erişimi, güvenilmeyen içeriğe maruz kalması ve harici iletişime izin verilmesi durumlarının tehlikeli birleşimini tanımlıyor. Willison, bu üç koşul bir araya geldiğinde prompt enjeksiyon saldırılarının kritik düzeyde sömürülebilir hale geldiğini savunuyor.