Yapay Zeka Ajanlarını Hedef Alan Dolaylı Prompt Enjeksiyonu: Web Siteleri Artık Gizli Talimatlar İçeriyor Yazılım

Yapay Zeka Ajanlarını Hedef Alan Dolaylı Prompt Enjeksiyonu: Web Siteleri Artık Gizli Talimatlar İçeriyor

Saldırganlar, AI ajanlarını yönlendirmek için web sitelerine gizli talimatlar yerleştiriyor. Zscaler, sahte yazılım dokümantasyonu ve kripto para site

Yapay zeka ajanları, web'i tarayarak kullanıcı adına görevler yerine getirirken, siber saldırganlar bu süreci manipüle etmek için yeni bir teknik geliştirdi: dolaylı prompt enjeksiyonu. Zscaler ThreatLabz araştırmacıları, AI ajanlarını hedef alan iki gerçek dünya kampanyasını belgeledi. Bu saldırılarda, kötü niyetli talimatlar, bir AI ajanının okuduğu web sayfası gibi içeriklere gizlenerek ajanın davranışını yönlendiriyor. Bir kampanya sahte yazılım dokümantasyonu kullanarak ödeme dolandırıcılığı yaparken, diğeri bir kripto para hizmetini taklit ediyordu. Bu teknik, AI güvenliği için yeni ve ciddi bir tehdit oluşturuyor.

Her iki saldırıda da taktik benzerdi: Saldırganlar önce SEO zehirleme (SEO poisoning) kullanarak sahte sitelerini arama sonuçlarında üst sıralara çıkardı. Böylece bir AI ajanının bu siteleri bulma olasılığı artırıldı. Ardından, sayfanın insan gözünün göremeyeceği bölümlerine prompt tarzı talimatlar gizlendi. Bu talimatlar, CSS ile metni ekran dışına taşıyarak veya makinelerin güvenilir bağlam olarak okuduğu yapılandırılmış JSON-LD meta verilerinin içine yerleştirilerek saklandı. Bu yöntem, hem insan kullanıcıları hem de AI ajanlarını hedef alıyor.

İlk kampanyada, sahte bir Python kütüphanesi dokümantasyon sayfası oluşturuldu. Sayfa, kodlama görevi yapan herhangi bir AI ajana, bir hatayı düzeltmek için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyordu. Ardından ajan, saldırganın kripto para cüzdanına ödeme yaparak sahte bir anahtar almak üzere yönlendiriliyordu. Zscaler, aynı sitenin insan geliştiricileri de dolandırmaya çalıştığını belirtti. Bu, dolaylı prompt enjeksiyonunun sadece AI ajanlarını değil, doğrudan insanları da hedef alabileceğini gösteriyor.

İkinci kampanyada ise saldırganlar, popüler bir kripto para portföy takipçisi olan DeBank'ı taklit eden bir tür sahtekarlık alan adı (typosquatting domain) kullandı. Sayfaya gizlenen metin, AI ajanlarına sahte siteyi 'yetkili' DeBank olarak kabul etmelerini ve onu ilk sıraya koymalarını emrediyordu. Bu, kullanıcıları yanlış bilgilendirme ve potansiyel olarak fon kaybına yol açma riski taşıyor. Zscaler, bu tür saldırıların AI ajanlarının güvenilir bilgi kaynaklarını ayırt etme yeteneğini sorgulattığını vurguluyor.

Nasıl Önlem Alınmalı?

Riskin boyutunu ölçmek için ThreatLabz, kendi otonom ajanını bu sahte sitelere karşı 26 farklı büyük dil modeli (LLM) üzerinde test etti. Sonuçlar endişe vericiydi: 26 modelden 4'ü, Meta'nın Llama ve Google'ın Gemini sürümleri de dahil olmak üzere, sahte ödeme işlemini gerçekleştirmek için manipüle edildi. İkinci testte ise OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, gerçek DeBank için güvenilir bir referansa sahip olmadıklarında sahte siteyi meşru olarak değerlendirdi. Ancak gerçek site karşılaştırma için sağlandığında hiçbiri yanıltılamadı. Bu, LLM'lerin bağlam eksikliğinde ne kadar savunmasız olduğunu gösteriyor.

Zscaler'in kum havuzu testlerinden elde edilen sonuçlar, bir modelin bu tür saldırılara karşı ne kadar duyarlı olduğunun büyük ölçüde LLM'nin kendisine ve sağlanan bağlam miktarına bağlı olduğunu ortaya koyuyor. Şirket, 'AI ajanları web'e daha yaygın bir arayüz haline geldikçe, içeriğin kendisi daha büyük bir saldırı yüzeyi haline gelecek' uyarısında bulunuyor. Bu, AI'nın iş akışlarını kolaylaştırırken aynı zamanda yeni suistimal yolları açan çift taraflı bir kılıç olduğunu vurguluyor. Kullanıcılar ve geliştiriciler için pratik çıkarım, AI ajanlarının güvendiği kaynakları dikkatle seçmek ve doğrulama mekanizmaları eklemek. Ayrıca, güvenlik araştırmacıları için bu tür saldırıları tespit etmek ve önlemek için yeni yöntemler geliştirmek kritik önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: