Yapay Zeka Ajanlarına Yeni Saldırı: Veri Zehirleme ile İstenmeyen Komutlar Çalıştırılabilir Linux

Yapay Zeka Ajanlarına Yeni Saldırı: Veri Zehirleme ile İstenmeyen Komutlar Çalıştırılabilir

Yeni bir saldırı türü, yapay zeka ajanlarının güvendiği verileri bozarak, ürün sayfasında 'Şimdi Al' butonuna tıklamasına veya geliştiricinin bilgisay

Bir yapay zeka ajanından bir ürün sayfasındaki yorumları özetlemesini istediğinizde, sadece bir tane sahte yorum bile ajanın 'Şimdi Al' butonuna tıklamasına neden olabilir. Ya da bir kod yardımcısına GitHub'daki bir düzeltmeyi uygulamasını söylediğinizde, sahte bir yorum ajanın bilgisayarınızda bir yabancının komutunu çalıştırmasına yol açabilir. Bu iki durumda da saldırı, ajanın görevini tamamen ele geçirmiyor; sadece güvendiği bilgileri bozarak görevini sürdürmesini sağlıyor.

Seul Ulusal Üniversitesi, Illinois Urbana-Champaign Üniversitesi ve Largosoft araştırmacıları tarafından 6 Temmuz'da yayınlanan bir makalede, bu yeni saldırı türü 'ajan veri enjeksiyonu' (ADI) olarak adlandırılıyor. Saldırgan, girdisini ajanın zaten güvendiği veriler (gönderen adı veya buton kimliği gibi) kılığına sokarak, çoğu savunma mekanizmasını atlatabiliyor. Açık, ajanın verileri nasıl okuduğundan kaynaklanıyor: ajanlar iki tür bilgi alır: talimatlar (kullanıcı ve geliştirici tarafından verilen) ve veriler (e-posta, web sayfası, yorum gibi çalışırken çekilenler). Klasik komut enjeksiyonu, verinin içine 'görevi unut ve dosyaları e-postayla gönder' gibi bir talimat gizler; modern savunmalar bunu tespit edip engellemekte başarılı.

ADI ise bir katman daha aşağıda çalışır: ajanın sessizce güvendiği küçük bilgileri (e-postayı kimin gönderdiği, sayfadaki bir butonun kimliği, bir aracın daha önce çalıştırdığı adımın kaydı) bozar. Bunları bozduğunuzda, ajan görevinizi yapmaya devam eder, ancak saldırganın ektiği bilgilerin üzerine. Araştırmacıların 'olasılıksal sınırlayıcı enjeksiyonu' dediği yöntemle, ajan verileri ayırmak için kullandığı noktalama işaretlerini (tırnak, parantez, etiket, köşeli ayraç, satır sonu) taklit eden karakterler eklenir. Normal bir program bu işaretleri katı kurallarla okurken, dil modeli tahminle okur; bu nedenle saldırgan, kontrol ettiği bir alana bu karakterleri serpiştirerek modelin var olmayan bir yapıyı görmesini sağlayabilir.

Saldırıyı durdurmayı zorlaştıran kısım, sahte noktalama işaretlerinin doğru olmasının bile gerekmediğidir. Testlerde, kaçışlı tırnak (\"), kıvrık tırnak, hatta dolar işareti bile gerçek işaret olarak kabul edilip modeli kandırdı. Katı bir ayrıştırıcı bunları sıradan metin olarak okurken, model yeni bir yapı olarak algıladı. Araştırmacılar, gerçek araçlar üzerinde üç çalışan saldırı geliştirdi: web ajanlarında (Claude in Chrome, Google Antigravity, Nanobrowser), sahte bir ürün yorumu gerçek bir butonun kimliğini yeniden kullanarak ajanın 'Devamını Oku' yerine 'Şimdi Al' butonuna tıklamasını sağladı.

Kod yardımcılarında (Claude Code, OpenAI Codex, Google Gemini CLI) ise, bir GitHub yorumu yazar satırını proje bakımcısı gibi göstererek ajanın bakımcının düzeltmesini uygulaması istendiğinde, geliştirici onay verirse saldırganın komutunu çalıştırmasına neden oldu. Ayrıca, kötü niyetli bir çekme isteği, ajanın hiç çalıştırmadığı bir kontrolün kaydını taklit ederek temiz bir sonuç gösterdi; ajan bu sahte sonucu inceledi, kodu güvenli buldu ve birleştirmeye geçti; geliştirici onayladığında gerçek kötü amaçlı kod projeye eklendi.

Gelecekte Ne Bekleniyor?

Çoğu araç riskli işlemlerden önce onay istiyor: Claude in Chrome tıklamadan önce soruyor, kod yardımcıları komut çalıştırmadan önce soruyor. Ancak bu pek işe yaramıyor. Tıklama istemi yalnızca ajanın bir öğeye tıklamak istediğini söylüyor, hangisi veya neden olduğunu belirtmiyor. Kod yardımcıları akıl yürütmelerini gösteriyor, ancak bu akıl yürütme sahte bilgilere dayandığı için normal bir adımın mantıklı bir açıklaması gibi görünüyor. Kullanıcı, ekrana bakarak gerçek bir onay ile üretilmiş bir onayı ayırt etmekte zorlanıyor.

Test edilen tüm modeller (OpenAI GPT-5.2 ve GPT-5-mini, Anthropic Claude Opus 4.5 ve Sonnet 4.5, Google Gemini 3 Pro ve Flash) savunmasız çıktı. Yapılandırılmış verilerde saldırı %31-43, web sayfası verilerinde ise üçte birden tamamına kadar başarılı oldu. Amaçlı olarak geliştirilmiş ajan savunmaları, klasik komut kaçakçılığını neredeyse tamamen engellerken (%0'a yakın başarı), ADI karşısında %50'ye varan başarı gösterdi. Aynı savunmalar, çok farklı sonuçlar; çünkü diğer saldırı için tasarlanmışlardı.

Nasıl Önlem Alınmalı?

Her şey başarısız olmadı. ChatGPT'nin Atlas tarayıcısı, her sayfa öğesine basit bir sayaç yerine rastgele, tahmin edilemez bir kimlik atadığı için tıklama saldırısını püskürttü. Araştırmacılar, alan adlarına kısa rastgele etiket eklemenin saldırı başarısını %49'dan %29'a düşürdüğünü buldu. Daha ağır bir savunma, her veri parçasının kaynağını izleyerek saldırıyı tamamen engelledi ancak ajanların normal görevlerini yalnızca üçte bir oranında tamamlamasına neden oldu. Noktalama işaretlerini temizlemek ise ajanları neredeyse işe yaramaz hale getirdi.

Kaynak: thehackernews.com

Paylaş: