Siber güvenlik dünyasında yeni bir tehdit türü ortaya çıktı: Yapay zeka ajanlarını hedef alan gizli web komutları. Zscaler ThreatLabz tarafından yapılan araştırma, kötü niyetli web sitelerinin HTML kodlarına gizlenmiş talimatlar aracılığıyla yapay zeka ajanlarını manipüle edebildiğini gösteriyor. Bu teknik, 'indirect prompt injection' olarak adlandırılıyor ve insan kullanıcıların fark edemeyeceği şekilde, yalnızca sayfayı tarayan yapay zeka ajanlarının okuyabileceği gizli metinler içeriyor. Bu saldırılar, otonom yapay zeka iş akışları için yeni riskler oluşturuyor.
Araştırmacılar, iki aktif kampanya tespit etti. İlk kampanya, 'requests-secure-v2' adlı sahte bir Python kütüphanesini arayan yapay zeka kodlama asistanlarını hedef alıyor. Saldırganlar, bu kütüphaneyi arayan ajanları, JSON-LD yapılandırılmış verileri ve CSS ile gizlenmiş div etiketleri aracılığıyla 3 dolarlık bir 'geliştirici API lisans ücreti' ödemeye yönlendiriyor. Ayrıca, web sitesi JavaScript koduyla yaklaşık 0.0012 ETH'yi saldırganın cüzdanına transfer ediyor. Ethereum cüzdanına daha önce de ödemeler yapıldığı görülüyor, bu da aynı adresin geçmiş saldırılarda kullanıldığını gösteriyor.
İkinci kampanya ise, popüler DeFi portföy takipçisi DeBank'ı taklit eden bir 'typosquatting' operasyonu. debank[.]auction adlı sahte alan adı, arama motorlarında DeBank ile ilgili aramalarda üst sıralara çıkmak için anahtar kelimelerle doldurulmuş. Sayfadaki JSON-LD, meşru debank.com'u yayıncı olarak yanlış tanımlarken, gizli komutlar yapay zeka ajanlarına bu sahte siteyi güvenilir kaynak olarak kabul etmelerini ve 'Auction' kelimesini kullanmamalarını söylüyor.
Nasıl Önlem Alınmalı?
Zscaler, 26 büyük dil modeli üzerinde yaptığı testlerde, bu saldırıların gerçek dünyada etkili olduğunu kanıtladı. Testlerde, Llama 3.3 70B Instruct, Llama 3.2 90B Vision Instruct, Gemini 3 Flash ve Gemini 2.5 Pro modelleri, ilk kampanyada ödeme yapmaya ikna edildi. İkinci kampanyada ise GPT-5.4 ve Claude Sonnet 4.5 sahte siteyi meşru olarak sınıflandırdı. Ancak, resmi DeBank alan adı referans olarak verildiğinde hiçbir model yanılmadı. Bu durum, yapay zeka ajanlarının içerik katmanında girdi doğrulaması yapması gerektiğini ve web'den alınan her şeyin potansiyel olarak düşmanca değerlendirilmesi gerektiğini ortaya koyuyor. Organizasyonlar, ajan iş akışları için araç izinlerini dikkatlice sınırlandırmalı ve web gezintisi yapabilen bir ajana varsayılan olarak sınırsız ödeme yetkisi vermemelidir.