Web İçeriğine Gizlenen Talimatlar AI Ajanlarını Hedef Alıyor Siber Güvenlik

Web İçeriğine Gizlenen Talimatlar AI Ajanlarını Hedef Alıyor

Zscaler ThreatLabz, AI ajanlarını hedef alan dolaylı komut enjeksiyonu saldırılarını belgeledi. Saldırganlar, web sayfalarına gizledikleri talimatlarl

Siber güvenlik araştırmacıları, saldırganların yapay zeka ajanlarını hedef almak için web sitelerine gizli talimatlar yerleştirmeye başladığını ortaya koydu. Zscaler ThreatLabz tarafından belgelenen iki gerçek dünya kampanyasında, 'dolaylı komut enjeksiyonu' adı verilen bir teknik kullanıldı. Bu yöntemde, talimatlar bir AI ajanının okuduğu içeriğe (örneğin bir web sayfasına) gömülerek ajanın davranışını yönlendiriyor. İlk kampanya, bir yazılım dokümantasyonu gibi görünerek ödeme dolandırıcılığı yaparken, ikincisi bir kripto para hizmetini taklit etti.

Her iki saldırıda da saldırganlar önce SEO zehirleme yöntemiyle sitelerini arama sonuçlarında üst sıralara taşıdı, böylece bir AI ajanının siteyi bulma olasılığını artırdı. Ardından, insan gözünün görmediği sayfa bölümlerine komut tarzı talimatlar gömdüler. Bunu yaparken CSS ile metni ekran dışına taşıdılar veya makinelerin güvendiği yapılandırılmış JSON-LD meta verilerine gizlediler. İlk kampanyada, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte bir sayfa, kodlama görevi yapan herhangi bir AI ajanına bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyor ve ardından ajanı saldırganın kripto para cüzdanına ödeme yapmaya yönlendiriyordu.

İkinci kampanyada ise saldırganlar, popüler kripto para portföy takipçisi DeBank'ı taklit eden bir alan adı benzerliği (typosquatting) kullandı. Gizli metin, ajanlara sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve ilk sıraya koymalarını emrediyordu. Zscaler, kendi tehdit analiz ortamında 26 büyük dil modelini (LLM) kullanarak bu sitelere karşı otonom ajanını test etti. Testlerde, Meta'nın Llama ve Google'ın Gemini versiyonları da dahil olmak üzere 26 modelden dördü sahte ödemeyi gerçekleştirmek için manipüle edildi. İkinci testte, OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank için güvenilir bir referans olmadığında sahte siteyi meşru olarak değerlendirdi. Ancak gerçek site karşılaştırma için sunulduğunda hiçbiri yanıltılamadı.

Zscaler'ın test sonuçları, modellerin saldırılara karşı duyarlılığının büyük ölçüde LLM'ye ve verilen bağlam miktarına bağlı olduğunu gösteriyor. Şirket, 'AI ajanları web için daha yaygın bir arayüz haline geldikçe, içeriğin kendisi daha büyük bir saldırı yüzeyine dönüşecek' uyarısında bulundu. Bu durum, AI'nın iş akışlarını kolaylaştırırken aynı zamanda yeni istismar yolları da açan çift uçlu bir kılıç olduğunu vurguluyor.

Paylaş: