Prompt Injection, Web Ajanları Çağının Yeni XSS'i Oluyor: Berkeley'den Çığır Açan Çözüm Dünya Geneli

Prompt Injection, Web Ajanları Çağının Yeni XSS'i Oluyor: Berkeley'den Çığır Açan Çözüm

UC Berkeley, web ajanlarını hedef alan prompt injection saldırılarını XSS'in modern versiyonu olarak tanımlıyor ve Prismata ile yapısal bir savunma su

Otonom web ajanları, bir sayfada görüntülenen her şeyi okur ve bu içeriğin büyük bir kısmı tanımadıkları kişilerden gelir. Ürün yorumları, satıcı listeleri ve reklamlar, güvenilir site menülerinin yanında yer alır. Tüm bu metinleri talimat olarak algılayan bir ajan, herhangi bir kısım tarafından yönlendirilebilir. Bu durum, siber güvenlik dünyasında yeni bir saldırı yüzeyi oluşturuyor: Cross-Site Prompting (XSP). Berkeley'deki bir araştırma grubu, XSP'yi ajan çağının Cross-Site Scripting (XSS) versiyonu olarak tanımlıyor. Geliştirdikleri Prismata sistemi, web ajanı ile tarayıcı arasına yerleşerek ajanın gördüğü içeriği filtreliyor ve gerçekleştirebileceği eylemleri sınırlandırıyor.

XSS ile yapılan karşılaştırma, tüm tasarımın temelini oluşturuyor. Cross-Site Scripting, bir saldırganın güvenilir bir siteye betik yerleştirmesine ve bu betiğin ziyaretçinin tarayıcısında çalışmasına olanak tanırken, XSP yürütülebilir kodu düz metinle değiştiriyor. Bir saldırgan, kullanıcının kredi kartı bilgilerini bir yabancıya göndermesini söyleyen bir ürün yorumu yazıyor ve ajan buna uyabiliyor. Eski web savunmaları bu ortama pek uymuyor; girdi temizleyicileri kodu tararken, prompt injection saldırıları hiçbir kod taşımıyor. Bu nedenle, geleneksel güvenlik önlemleri yetersiz kalıyor.

Prismata, sayfanın yapısından yararlanarak çalışıyor. Her düğme, bağlantı veya form alanı için, sayfanın tepesinden o öğeye kadar uzanan bir üst öğe yolu bulunuyor. Berkeley ekibi, bu yolların neredeyse tamamen geliştirici tarafından yazılan iskelelerden (düzen kapları, navigasyon gibi) oluştuğunu ölçtü. Bir muhakeme modeli, yalnızca bu yolu ve kullanıcının görevini okuyarak, öğenin göreve ait olup olmadığına karar veriyor. Sayfanın başka bir yerinde bulunan bir injection, bu kararın dışında kalıyor. Ölçümler, Common Crawl ve Mind2Web'den alınan 90.000'den fazla güvenilmeyen içerik örneğinde, yalnızca yaklaşık %1,2'sinin ajanın tıklayabileceği veya doldurabileceği bir öğeye giden bir yolda bulunduğunu gösteriyor. Geri kalanı, saldırgan için çıkmaz sokak niteliğinde.

Detaylar ve Etkileri

Güvenilmeyen içeriğin bu tür bir yolda bulunduğu az sayıdaki durumda, Prismata 1977 tarihli bir güvenlik tasarımından yararlanıyor: Biba bütünlük modeli. Bu model, "aşağı okuma yok, yukarı yazma yok" kuralını uyguluyor ve ekip bunu sayfa ağacına uyarlıyor. Sistem, alt öğeleri göstermeden önce yolun her katmanını okuyarak güvenilmeyen içeriğin gelip gelmediğini izliyor. "Yorumlar" gibi başlıklar, erişilebilirlik etiketleri ve review-card gibi geliştirici sınıf adları sınırı işaretliyor. Bir sinyal göründüğünde, altındaki her şey daha düşük bir güven etiketi alıyor ve budanıyor veya salt okunur hale getiriliyor.

Testler, canlı web'e en yakın kıyaslama ortamı olan WebArena'da gerçekleştirildi. Saldırı başarısı, savunma olmadan %85,5 iken Prismata ile %0,7'ye düştü. Saldırı altında görev tamamlama oranı ise yaklaşık yirmide birden dörtte bire yükseldi. Saldırı olmadığında, filtreleme devreye girdiğinde görev başarısı %29,9'dan %26,6'ya geriledi. Birkaç puanlık kullanılabilirlik kaybı, büyük bir sınırlama sağlıyor. Tüm bu etiketlemeleri yönlendiren dil modelleri, insan uzmanlarla karşılaştırıldığında %90'ın üzerinde uyum gösterdi. GPT-5.4-nano %98,69 hassasiyetle en temkinli model olurken, Gemini 3 Flash en yüksek F1 skorunu elde etti.

Sonuç ve Değerlendirme

Sınırlamalar da mevcut. Bir injection, önünde hiçbir sinyal olmadan bir eylemin yolunda yer aldığında, saldırganın metni karar aşamasına ulaşıyor ve hiçbir mekanizma onu engelleyemiyor. Ekip, bunu yaklaşık binde bir yolda buldu; web en iyi uygulamalarını takip eden sitelerde bu oran %0,017'ye düşüyor. Dil modelleri, boru hattının her aşamasında yer aldığı için garantinin üst sınırını belirliyor. %95 F1 skoru, kritik bir öğede tek bir yanlış etiketlemenin saldırıyla ilgili bir öğeyi geçirmesine izin verebilir. Ortalamalar en kötü durumları gizler. Uyarlanabilir saldırılara karşı Prismata'nın dayanıklı olduğu görülse de, bu küçük bir örneklem. Genel resim, klasik sınırlama ilkelerinin olasılıksal model çıktılarıyla buluştuğu ve her şeyin iki bahse dayandığı bir tablo: modellerin sayfaları iyi etiketlemesi ve sitelerin HTML'lerini geleneksel yapıda tutması.

Kullanıcı kimlik bilgilerini ve ödeme detaylarını tutan ajanları çalıştıran herkesin bu gelişmeleri takip etmesi gerekiyor. Prismata, prompt injection tehdidine karşı umut verici bir çözüm sunarken, mükemmel güvenlik diye bir şey olmadığını da hatırlatıyor. Web ajanlarının yaygınlaşmasıyla birlikte, bu tür savunma mekanizmaları hayati önem kazanacak. Geliştiricilerin, sitelerini temiz ve yapılandırılmış HTML ile tutmaları, güvenlik açıklarını azaltmada kritik rol oynuyor.

Uzmanların Görüşleri

Prismata'nın yaklaşımı, yapay zeka güvenliğinde yeni bir dönemin habercisi. Geleneksel girdi temizleme yöntemlerinin yetersiz kaldığı bu yeni saldırı türüne karşı yapısal ve bağlamsal filtreleme, etkili bir savunma katmanı oluşturuyor. Gelecekte, dil modellerinin etiketleme doğruluğu arttıkça ve web standartları iyileştikçe, bu tür sistemler daha da güçlenecek. Şimdilik, Prismata gibi araçlar, otonom ajanların güvenli bir şekilde çalışmasını sağlamak için önemli bir adım.

Kaynak: helpnetsecurity.com

Paylaş: