Infosecurity Europe 2026'da konuşan OWASP katılımcısı Ariel Fogel, prompt injection'ın yapay zeka gelişimini sekteye uğratan çözülmemiş bir mimari sorun olduğunu belirtti. Pillar Security CTO ofisi bünyesinde AI güvenlik araştırmacısı olarak çalışan Fogel, yapay zeka ve güvenlik uzmanlarının prompt injection'ı uzun süredir bildiğini ancak sorunun temel düzeyde henüz çözülemediğini söyledi. Bunun nedeni, büyük dil modellerinin (LLM'ler) girdileri tek bir token dizisi olarak işlemesi ve sistem istemleri, kullanıcı sorguları ve bir ajan tarafından alınan içerik arasında ayrıcalık sınırlarını zorlamak için güvenilir bir mekanizmanın bulunmaması.
Fogel, bu sorunun ajanlar araçlara ve eyleme geçme yeteneğine kavuştukça daha tehlikeli hale geldiği uyarısında bulundu. Ayrıca pratik riskin değiştiğini, başarılı bir enjeksiyonun artık sadece yanlış bir yanıt üretmekle kalmayıp gerçek dünyada bir dizi eylemi tetikleyebileceğini açıkladı. Günümüzde ajanik AI iş akışlarıyla, araç erişimine sahip ajanlar kullanıcılar adına adımlar atabiliyor; bu nedenle bir enjeksiyon, kötü bir çıktıdan aktif bir ihlale dönüşebiliyor.
Fogel, 'Çoğu kuruluş, ajanları yönetebileceklerinden daha hızlı bir şekilde dağıtıyor' diyerek bu hız ve ölçeğin, prompt injection'ı geleneksel kontrollerle kontrol altına almayı zorlaştırdığını savundu. İnsan operatörler için işe yarayan savunmaların (örneğin, sanal alan, izin listeleri ve manuel inceleme) yürütücü bir ajan olduğunda başarısız olabileceğine dikkat çekti. Bazı prompt injection saldırılarında izin listelerinin aslında istismarı kolaylaştırdığını çünkü ajanın ihtiyaç duyduğu komutların zaten onaylandığını belirtti. Diğer durumlarda ise ajanın kendi çıktısının sanal alan sınırlarını yeniden tanımlayarak onu durdurması amaçlanan kapsamı etkili bir şekilde yeniden yazdığını söyledi.
Sonuç ve Değerlendirme
Fogel, son bir yılda sorunla başa çıkmak için 'girişimler' olduğunu kabul ederek ünlü açık kaynak geliştiricisi Simon Willison tarafından ortaya atılan 'Ölümcül Üçlü' (Lethal Trifecta) kavramından bahsetti. Bu kavram, bir AI ajanının özel verilere erişimi olması, güvenilmeyen içeriğe maruz kalması ve harici iletişime izin verilmesi gibi tehlikeli kombinasyonu tanımlıyor. Willison'a göre, bu üç koşul bir arada bulunduğunda prompt injection saldırılarını kritik düzeyde istismar edilebilir hale getiriyor.