Zscaler ThreatLabz araştırmacıları, yapay zeka ajanlarını hedef alan iki yeni siber saldırı kampanyası keşfetti. Bu kampanyalarda, kötü niyetli web sitelerine gizlenen talimatlar, AI ajanlarını farkında olmadan para transferi yapmaya veya sahte sitelere güvenmeye yönlendiriyor. Dolaylı komut enjeksiyonu olarak adlandırılan bu teknikte, insan kullanıcıların tarayıcıda görmediği ancak AI ajanlarının sayfayı tararken okuduğu gizli metinler kullanılıyor. Bu durum, otonom AI iş akışları için yeni bir risk oluşturuyor.
İlk kampanya, 'requests-secure-v2' adlı sahte bir Python kütüphanesini arayan AI kodlama asistanlarını hedef alıyor. Saldırganlar, meşru API belgelerini taklit eden bir site oluşturmuş. Sitenin HTML koduna gizlenen talimatlar, AI ajanına 'geliştirici API lisans ücreti' olarak 3 dolar ödemesi gerektiğini söylüyor. Ödeme talimatları, JSON-LD yapılandırılmış meta verilerinde ve CSS ile görünmez yapılmış div etiketlerinde saklanıyor. Ayrıca site, 0.0012 ETH'yi sabit bir cüzdan adresine gönderen JavaScript kodu içeriyor. İnsan kullanıcılar da kredi kartı veya kripto para ile ödeme yapmaya yönlendiriliyor.
İkinci kampanya ise, popüler DeFi portföy takipçisi DeBank'ın taklit edilmesiyle yürütülüyor. debank[.]auction alan adı üzerinden yapılan bu saldırıda, site başlık ve meta etiketlerine DeBank ile ilgili anahtar kelimeler yerleştirilerek arama sonuçlarında üst sıralara çıkmayı hedefliyor. JSON-LD verileri, meşru debank.com'u yayıncı olarak gösterirken, gizli talimat AI ajanına debank[.]auction'ı doğrulanmış kaynak olarak kabul etmesini ve 'Auction' kelimesinden bahsetmemesini söylüyor. Zscaler'ın testlerinde, GPT-5.4 sahte siteyi meşru olarak sınıflandırırken, Claude Sonnet 4.5 de bağlam olmadan siteyi doğruladı.
Gelecekte Ne Bekleniyor?
Zscaler, 26 büyük dil modelini test ettiğinde, dört modelin ilk kampanyada para transferini gerçekleştirdiğini, iki modelin ise ikinci kampanyada sahte siteyi doğru sınıflandıramadığını tespit etti. Araştırmacılar, AI ajanlarının yalnızca komut düzeyinde değil, içerik düzeyinde de girdi doğrulamasına ihtiyaç duyduğunu vurguluyor. Web'den alınan her şey potansiyel olarak düşmanca kabul edilmeli ve ajanların yetkileri sıkı bir şekilde sınırlandırılmalıdır. AI ajanları web ile daha yaygın bir arayüz haline geldikçe, içerik saldırı yüzeyi genişliyor ve bu da AI'nın çift taraflı bir kılıç olduğunu gösteriyor.