Siber güvenlik araştırmacıları, yapay zeka (AI) ajanlarını hedef alan yeni bir tehdit türünü gün yüzüne çıkardı. Zscaler ThreatLabz, kötü niyetli web sitelerine gizlenmiş komutlar aracılığıyla AI ajanlarının para göndermeye veya sahte sitelere güvenmeye yönlendirildiğini tespit etti. 'Dolaylı prompt enjeksiyonu' olarak adlandırılan bu teknik, insan kullanıcıların fark etmediği ancak AI ajanlarının okuyup uygulayabileceği gizli talimatlar içeriyor. Bu durum, otonom AI iş akışları için yeni bir güvenlik açığı oluşturuyor.
İlk kampanya, 'requests-secure-v2' adlı sahte bir Python kütüphanesini arayan AI kod asistanlarını hedef alıyor. Sahte web sitesi, meşru API dokümantasyonu görünümünde. Sayfada gizlenen JSON-LD meta verileri ve CSS ile görünmez yapılan div etiketleri, AI ajanına 'geliştirici API lisans ücreti' olarak 3 dolar ödemesi talimatını veriyor. Ayrıca, JavaScript ile 0,0012 ETH transferi başlatılıyor. İnsan kullanıcılar da kredi kartı veya kripto para ile ödeme seçenekleriyle karşılaşıyor. Saldırganın Ethereum cüzdanına daha önce de ödemeler yapıldığı görülüyor.
İkinci kampanya ise popüler merkezi olmayan finans (DeFi) portföy takipçisi DeBank'ın taklit edilmesiyle yürütülüyor. debank[.]auction alan adı, arama motorlarında üst sıralara çıkmak için anahtar kelimelerle doldurulmuş. JSON-LD verileri, meşru debank.com'u yayıncı olarak gösterirken, gizlenmiş prompt AI ajanına debank[.]auction'ı resmi kaynak olarak kabul etmesini ve 'Auction' kelimesini kullanmamasını söylüyor. Zscaler'ın testlerinde, GPT-5.4 sahte siteyi meşru olarak sınıflandırırken, Claude Sonnet 4.5 de izole senaryoda aynı hatayı yaptı. Ancak resmi DeBank alan adı referans verildiğinde hiçbir model yanılmadı.
Zscaler, 26 büyük dil modeli (LLM) üzerinde yaptığı testlerde, Llama 3.3 70B Instruct, Gemini 3 Flash gibi dört modelin kampanya 1'de para transferini gerçekleştirdiğini, iki modelin ise kampanya 2'de sahte siteyi doğru sınıflandıramadığını belirledi. Araştırmacılar, AI ajanlarının web'den aldığı içeriklerin potansiyel olarak düşmanca olduğunu varsayarak girdi doğrulaması yapması gerektiğini vurguluyor. Ayrıca, ajanların yetkilerinin sınırlandırılması ve ödeme araçlarına erişimin kısıtlanması öneriliyor. AI ajanlarının yaygınlaşmasıyla birlikte, web içeriğinin kendisinin bir saldırı yüzeyi haline geldiği ve bu durumun AI'nın çift taraflı bir kılıç olduğunu bir kez daha gösterdiği belirtiliyor.