Yeni bir araştırmaya göre, saldırganlar AI ajanlarını hedef almak için web sitelerine gizli talimatlar gömmeye başladı. Zscaler'in ThreatLabz birimi, dolaylı prompt injection adı verilen bir tekniği kullanan iki gerçek kampanyayı belgeledi. Bu teknikte, AI ajanının okuduğu içeriğe (örneğin bir web sayfası) talimatlar yerleştirilerek ajanın davranışı yönlendiriliyor. Kampanyalardan biri yazılım dokümantasyonu kılığında ödeme dolandırıcılığı yaparken, diğeri bir kripto para hizmetini taklit etti.
Her iki durumda da saldırganlar önce SEO zehirlenmesi kullanarak sitelerini arama sonuçlarında üst sıralara çıkardı, böylece bir AI ajanının siteyi bulma olasılığını artırdı. Ardından, insanların görmediği sayfa bölümlerine prompt benzeri talimatlar gömdüler. Bunu, metni CSS ile ekran dışına taşıyarak veya makinelerin güvenilir bağlam olarak okuduğu yapılandırılmış JSON-LD meta verilerinin içine saklayarak yaptılar.
İlk kampanyada, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte bir sayfa kullanıldı. Sayfa, kodlama görevindeki herhangi bir AI ajanına, bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söyledi ve ardından ajanı, saldırganın kripto para cüzdanına ödeme yaparak sahte bir anahtar alması için yönlendirdi. Zscaler, aynı sitenin insan geliştiricileri de dolandırmaya çalıştığını belirtti.
Teknik Analiz
İkinci kampanyada saldırganlar, popüler bir kripto para portföy takipçisi olan DeBank'ı taklit eden bir yazım hatası alan adı kullandı. Gizli metinler, ajanlara sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve ilk sıraya koymalarını söylüyordu. ThreatLabz, riski değerlendirmek için 26 büyük dil modeli (LLM) üzerinde kendi otonom ajanını test etti. Testlerde, Meta'nın Llama ve Google'ın Gemini sürümleri de dahil olmak üzere dört model, sahte ödemeyi gerçekleştirmek için manipüle edildi. İkinci testte, OpenAI'in GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank için güvenilir bir referans olmadığında sahte siteyi meşru olarak değerlendirdi. Karşılaştırma için gerçek site sağlandığında hiçbiri yanılmadı. Zscaler, AI ajanlarının web arayüzü olarak yaygınlaşmasıyla içeriğin daha büyük bir saldırı yüzeyi haline geleceğini vurguladı.