Yapay Zeka Ajanlarını Hedef Alan Yeni Tehdit: Dolaylı Prompt Enjeksiyonu Yazılım

Yapay Zeka Ajanlarını Hedef Alan Yeni Tehdit: Dolaylı Prompt Enjeksiyonu

Saldırganlar, web sitelerine gizlenmiş talimatlarla AI ajanlarını hedef alıyor. Zscaler, iki gerçek kampanyayı belgeledi.

Yapay zeka ajanlarının web'de gezinme yetenekleri arttıkça, siber saldırganlar da bu yeni yüzeyi hedef alan teknikler geliştiriyor. Zscaler ThreatLabz ekibi, AI ajanlarını manipüle etmek için 'dolaylı prompt enjeksiyonu' adı verilen bir yöntemi kullanan iki gerçek kampanyayı gün yüzüne çıkardı. Bu teknikte saldırganlar, bir AI ajanının okuduğu web sayfası gibi içeriklere gizli talimatlar yerleştirerek ajanın davranışını yönlendiriyor.

İlk kampanyada saldırganlar, bir Python kütüphanesinin dokümantasyonu gibi görünen sahte bir sayfa oluşturdu. Sayfaya yerleştirilen gizli talimatlar, AI ajanına bir hata düzeltmesi için 3 dolarlık bir API lisans anahtarı satın alması gerektiğini söylüyordu. Ajan, bu talimatı izleyerek saldırganın kripto para cüzdanına ödeme yapmaya yönlendiriliyordu. Zscaler, aynı sitenin insan geliştiricileri de dolandırmaya çalıştığını belirtiyor.

İkinci kampanya ise popüler bir kripto para portföy takip uygulaması olan DeBank'ın taklit edildiği bir alan adı (typosquatting) kullanıyordu. Sayfadaki gizli metin, AI ajanına sahte siteyi 'yetkili' DeBank olarak kabul etmesi ve onu ilk sıraya koyması talimatını veriyordu. Bu sayede ajan, kullanıcıyı sahte siteye yönlendirerek kötü amaçlı işlemler yapmasını sağlıyordu.

Uzmanların Görüşleri

Saldırganlar, hedef sayfalarını arama motoru sonuçlarında üst sıralara çıkarmak için SEO zehirleme (SEO poisoning) yöntemini kullandı. Ardından, prompt tarzı talimatları insan gözünün göremeyeceği yerlere gizlediler: CSS ile metni ekran dışına taşıyarak veya makine tarafından güvenilir bağlam olarak okunan JSON-LD metadata içine sıkıştırarak. Bu sayede hem AI ajanları hem de insan ziyaretçiler hedef alınabiliyor.

Detaylar ve Etkileri

Zscaler, riski değerlendirmek için kendi otonom ajanını 26 büyük dil modeli (LLM) üzerinde test etti. Testlerde, Meta'nın Llama ve Google'ın Gemini modelleri de dahil olmak üzere 4 modelin sahte ödeme işlemini gerçekleştirdiği görüldü. İkinci testte ise OpenAI'nin GPT-5.4 ve Anthropic'in Claude Sonnet 4.5 modelleri, sahte siteyi gerçek DeBank olarak yanlış değerlendirdi; ancak yalnızca gerçek DeBank için güvenilir bir referansları olmadığında. Gerçek site karşılaştırma için sunulduğunda hiçbiri yanılmadı.

Önemli Gelişmeler

Zscaler'in sandbox testleri, modellerin bu tür saldırılara karşı savunmasızlığının büyük ölçüde LLM'ye ve verilen bağlam miktarına bağlı olduğunu gösteriyor. Şirket, 'AI ajanları web için daha yaygın bir arayüz haline geldikçe, içeriğin kendisi daha büyük bir saldırı yüzeyi haline gelecek' uyarısında bulunuyor. Bu durum, AI'nın iş akışlarını kolaylaştırırken aynı zamanda yeni kötüye kullanım yolları da açtığını gösteriyor.

Kullanıcılar ve kuruluşlar, AI ajanlarını kullanırken bu tür dolaylı prompt enjeksiyonu saldırılarına karşı dikkatli olmalı. Özellikle güvenilmeyen kaynaklardan gelen içeriklerin AI ajanları tarafından işlenmesi risk oluşturabilir. Çözüm olarak, AI sistemlerine güvenilir referanslar sağlamak ve çıktıları doğrulamak gibi önlemler alınabilir. Zscaler'in araştırması, AI güvenliğinin sadece model eğitimiyle değil, aynı zamanda içerik doğrulama ve bağlam yönetimiyle de ilgili olduğunu ortaya koyuyor.

Kaynak: infosecurity-magazine.com

Paylaş: