Web Sitelerindeki Gizli Yönlendirmeler Yapay Zeka Ajanlarını Hedef Alıyor Yazılım

Web Sitelerindeki Gizli Yönlendirmeler Yapay Zeka Ajanlarını Hedef Alıyor

Saldırganlar, yapay zeka ajanlarını hedef alan web sitelerine gizli yönlendirme talimatları yerleştiriyor. Zscaler araştırması iki gerçek kampanyayı b

Saldırganlar, web sitelerine gizli talimatlar yerleştirerek yapay zeka ajanlarını hedef alıyor. Zscaler'in ThreatLabz birimi tarafından belgelenen iki gerçek kampanya, 'dolaylı komut enjeksiyonu' (indirect prompt injection) olarak adlandırılan bir teknik kullanıyor. Bu teknikte, bir AI ajanının okuduğu web sayfası gibi içeriklere, ajanın davranışını yönlendirmek için talimatlar yerleştiriliyor. İlk kampanya, bir yazılım dokümantasyonu kılığında ödeme dolandırıcılığı yaparken, ikincisi bir kripto para hizmetini taklit ediyor.

Her iki durumda da saldırganlar önce SEO zehirlenmesi (SEO poisoning) kullanarak sitelerini arama sonuçlarında üst sıralara taşıdı, böylece bir AI ajanının siteyi bulma olasılığını artırdı. Ardından, insanların görmediği ancak makinelerin güvenilir bağlam olarak okuduğu CSS ile ekran dışına taşınan metinler veya JSON-LD meta verileri gibi yapılara komut benzeri talimatlar gömdüler. İlk kampanyada, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte bir sayfa, kodlama görevindeki bir AI ajanına bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyor ve ajanı saldırganın kripto cüzdanına ödeme yapmaya yönlendiriyordu.

İkinci kampanyada saldırganlar, popüler kripto para portföy takipçisi DeBank'ı taklit eden bir tür sahtekarlık alan adı (typosquatting) kullandı. Sayfadaki gizli metin, AI ajanlarına sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve ilk sırada listelemelerini söylüyordu. Zscaler, riski değerlendirmek için kendi otonom ajanını 26 büyük dil modeli (LLM) üzerinde test etti. Testlerde, Meta'nın Llama ve Google'ın Gemini'sinin bazı sürümleri de dahil olmak üzere 26 modelden dördü, sahte ödeme işlemini gerçekleştirmek için manipüle edildi. İkinci testte ise, OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank için güvenilir bir referans olmadığında sahte siteyi meşru olarak değerlendirdi.

Zscaler'in kum havuzu test sonuçları, duyarlılığın büyük ölçüde LLM'ye ve verilen bağlam miktarına bağlı olduğunu gösteriyor. Şirket, 'AI ajanları web için daha yaygın bir arayüz haline geldikçe, içeriğin kendisi daha büyük bir saldırı yüzeyi haline gelecek' uyarısında bulundu. Bu durum, AI'nın iş akışlarını kolaylaştırırken aynı zamanda yeni istismar yolları da açtığını vurguluyor. Kullanıcıların ve geliştiricilerin, AI ajanlarının okuduğu içeriklere karşı daha dikkatli olması ve güvenlik önlemlerini artırması gerekiyor.

Paylaş: