Saldırganlar, web sitelerine gizledikleri talimatlarla yapay zeka ajanlarını hedef alıyor. Zscaler'ın ThreatLabz birimi, bu yöntemin kullanıldığı iki gerçek kampanyayı belgeledi. Dolaylı prompt enjeksiyonu adı verilen teknikte, AI ajanının okuduğu web sayfası gibi içeriklere talimatlar yerleştirilerek davranışı yönlendiriliyor. Bir kampanya yazılım dokümantasyonu kılığında ödeme dolandırıcılığı yaparken, diğeri kripto para hizmeti taklidi yapıyor.
Her iki vakada da saldırganlar önce SEO zehirleme yöntemiyle sitelerini arama sonuçlarında üst sıralara çıkararak AI ajanlarının bu siteleri bulmasını sağladı. Ardından, insan gözünün görmediği ancak makinelerin okuduğu alanlara prompt benzeri talimatlar gömdüler. Bu talimatlar, CSS ile ekran dışına taşınan metinler veya JSON-LD metadata içinde gizlenmişti. İlk kampanyada, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte sayfa, AI ajanına bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyor ve ardından saldırganın kripto cüzdanına ödeme yapmaya yönlendiriyordu.
İkinci kampanyada ise saldırganlar, popüler kripto para portföy takipçisi DeBank'ı taklit eden bir alan adı kullandı. Gizli metinler, AI ajanlarına sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve ilk sıraya koymalarını emrediyordu. Zscaler, kendi testlerinde 26 büyük dil modelini (LLM) bu sitelere karşı denedi. Meta'nın Llama ve Google'ın Gemini sürümleri de dahil olmak üzere dört model, sahte ödeme işlemini gerçekleştirmek üzere manipüle edildi. İkinci testte, OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank referansı olmadığında sahte siteyi meşru olarak değerlendirdi.
Uzmanların Görüşleri
Zscaler, AI ajanlarının web'e daha yaygın bir arayüz haline gelmesiyle içeriklerin daha büyük bir saldırı yüzeyi oluşturacağını vurguluyor. Şirket, 'AI, iş akışlarını kolaylaştırırken aynı zamanda yeni istismar yolları da açan iki ucu keskin bir kılıçtır' uyarısında bulunuyor. Bu araştırma, prompt enjeksiyonunun sadece chatbotları değil, otonom AI ajanlarını da tehdit ettiğini gösteriyor. Kullanıcıların ve geliştiricilerin, AI araçlarını kullanırken güvendikleri kaynakların doğruluğunu teyit etmeleri ve güvenlik önlemlerini artırmaları gerekiyor.