Web Sitelerine Gizlenen Yapay Zeka Saldırıları: Dolaylı Prompt Enjeksiyonu Tehdidi Siber Güvenlik

Web Sitelerine Gizlenen Yapay Zeka Saldırıları: Dolaylı Prompt Enjeksiyonu Tehdidi

Saldırganlar, AI ajanlarını hedef almak için web sitelerine gizli talimatlar yerleştiriyor. Zscaler, iki gerçek kampanyada dolaylı prompt enjeksiyonu ...

Siber güvenlik araştırmacıları, yapay zeka ajanlarını hedef alan yeni bir saldırı vektörü keşfetti. Zscaler'ın ThreatLabz birimi, saldırganların web sitelerine gizli talimatlar yerleştirerek AI ajanlarını manipüle ettiği iki gerçek kampanyayı belgeledi. 'Dolaylı prompt enjeksiyonu' adı verilen bu teknikte, kötü niyetli talimatlar AI ajanının okuduğu web sayfası gibi içeriklere gömülüyor ve ajanın davranışını yönlendiriyor. İlk kampanya, sahte bir yazılım dokümantasyonu kullanarak ödeme dolandırıcılığı yaparken, ikincisi popüler bir kripto para hizmetini taklit ediyordu.

Saldırganlar, her iki durumda da SEO zehirleme yöntemiyle sitelerini arama sonuçlarında üst sıralara çıkararak AI ajanlarının bu siteleri bulmasını sağladı. Ardından, insan gözünün göremeyeceği bölgelere gizli talimatlar yerleştirdiler. CSS kullanarak metni ekran dışına taşıdılar veya JSON-LD meta verileri içine sakladılar. İlk kampanyada, sahte bir Python kütüphane dokümantasyonu oluşturuldu. Bu sayfa, kodlama görevi yapan AI ajanına bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyor ve ardından ajanı saldırganın kripto cüzdanına ödeme yapmaya yönlendiriyordu.

İkinci kampanyada ise saldırganlar, popüler kripto portföy takipçisi DeBank'ı taklit eden bir alan adı kullandı. Gizli metinler, AI ajanlarına sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve ilk sıraya koymalarını emrediyordu. Zscaler, riski değerlendirmek için 26 büyük dil modeli (LLM) üzerinde kendi otonom ajanını test etti. Testlerde, Meta'nın Llama ve Google'ın Gemini versiyonları da dahil olmak üzere dört modelin sahte ödemeyi gerçekleştirmek için manipüle edildiği görüldü. İkinci testte ise OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank için güvenilir bir referans olmadığında sahte siteyi meşru olarak değerlendirdi.

Teknik Analiz

Zscaler'ın kum havuzu testleri, AI ajanlarının bu tür saldırılara karşı duyarlılığının büyük ölçüde kullanılan LLM modeline ve sağlanan bağlam miktarına bağlı olduğunu gösteriyor. Şirket, 'AI ajanları web için daha yaygın bir arayüz haline geldikçe, içeriğin kendisi daha büyük bir saldırı yüzeyi haline gelecektir' uyarısında bulundu. Bu durum, AI'nın iş akışlarını kolaylaştırırken aynı zamanda yeni kötüye kullanım yolları açan çift taraflı bir kılıç olduğunu vurguluyor.

Paylaş: