Infosecurity Europe 2026'da konuşan OWASP katkıcısı ve Pillar Security CTO ofisinde AI güvenlik araştırmacısı olan Ariel Fogel, prompt enjeksiyonunun yapay zeka gelişimini engelleyen çözülmemiş bir mimari sorun olduğunu belirtti. Fogel, AI ve güvenlik uzmanlarının prompt enjeksiyonunu uzun süredir bilmesine rağmen, bu sorunun temel düzeyde henüz çözülmediğini vurguladı.
Bu durumun temel nedeni, büyük dil modellerinin (LLM'ler) girdileri tek bir token dizisi olarak işlemesi ve sistem promptları, kullanıcı sorguları ile ajan tarafından alınan içerik arasında güvenilir bir yetki sınırı mekanizmasının bulunmaması. Fogel, bu sorunun ajanlar araçlar ve hareket etme yeteneği kazandıkça daha tehlikeli hale geldiğini ifade etti.
Ayrıca Fogel, pratik riskin değiştiğini açıkladı: başarılı bir enjeksiyon artık sadece kötü bir yanıt üretmekle kalmıyor, gerçek dünyadaki eylemler zincirini tetikleyebiliyor. Günümüzde ajanik AI iş akışlarıyla, araç erişimi olan ajanlar kullanıcı adına adımlar atabiliyor; bu nedenle bir enjeksiyon, kötü bir çıktıdan aktif bir ihlale dönüşebiliyor.
Fogel, 'Çoğu kuruluş, ajanları yönetebildiklerinden daha hızlı dağıtıyor' diyerek, bu hız ve ölçeğin prompt enjeksiyonunu geleneksel kontrollerle kontrol etmeyi zorlaştırdığını savundu. İnsan operatörler için işe yarayan savunmaların (örneğin, sanal alan, beyaz listeler ve manuel inceleme) yürütücü bir ajan olduğunda başarısız olabileceğini belirtti.
Sonuç ve Değerlendirme
Bazı prompt enjeksiyon saldırılarında, beyaz listelerin aslında istismarı kolaylaştırdığını, çünkü ajanın ihtiyaç duyduğu komutların zaten onaylanmış olduğunu söyledi. Diğer durumlarda ise ajanın kendi çıktısı sanal alan sınırlarını yeniden tanımlayarak, onu durdurması amaçlanan kapsamı fiilen yeniden yazdı.
Detaylar ve Etkileri
Fogel, son bir yıl içinde bu sorunla başa çıkmak için 'girişimler' olduğunu kabul etti. Ünlü açık kaynak geliştiricisi Simon Willison tarafından ortaya atılan 'Ölümcül Üçlü' kavramından bahsetti. Bu kavram, bir AI ajanının özel verilere erişimi olması, güvenilmeyen içeriğe maruz kalması ve harici iletişime izin verilmesi durumlarının bir araya gelmesiyle prompt enjeksiyon saldırılarının kritik derecede istismar edilebilir hale geldiğini açıklıyor.
Kaynak: infosecurity-magazine.com