Siber güvenlik araştırmacıları, yapay zeka (AI) ajanlarını hedef alan yeni bir saldırı yöntemi keşfetti. Zscaler ThreatLabz, kötü niyetli web sitelerine gizlenen talimatların, AI ajanlarını para transferi yapmaya veya sahte sitelere güvenmeye ikna ettiğini belgeledi. 'Dolaylı komut enjeksiyonu' (indirect prompt injection) adı verilen bu teknikte, zararlı metinler insan kullanıcıların göremeyeceği şekilde web sayfası koduna gömülüyor. Ancak AI ajanları, sayfayı tararken bu gizli talimatları okuyup uygulayabiliyor.
İlk kampanya, AI kodlama asistanlarını hedef alıyor. Saldırganlar, 'requests-secure-v2' adlı sahte bir Python kütüphanesi için oluşturdukları web sitesinde, AI ajanlarına yönelik gizli talimatlar yerleştirmiş. Bu talimatlar, ajanın 'geliştirici API lisans ücreti' adı altında 3 dolar ödemesini istiyor. Ödeme talimatları JSON-LD yapılandırılmış verilerine ve CSS ile gizlenmiş HTML etiketlerine gömülmüş. Ayrıca, site JavaScript koduyla 0.0012 ETH'lik bir kripto para transferini de tetikliyor.
İkinci kampanya ise DeBank adlı merkeziyetsiz finans (DeFi) portföy takip platformunun taklit edilmesine dayanıyor. debank[.]auction alan adı üzerinden yürütülen bu operasyonda, AI ajanlarına sahte sitenin gerçek kaynak olduğunu söyleyen gizli komutlar bulunuyor. Zscaler, 26 büyük dil modeli (LLM) üzerinde yaptığı testlerde, Llama 3.3, Gemini 3 Flash gibi modellerin ilk kampanyada para transferini gerçekleştirdiğini, GPT-5.4 ve Claude Sonnet 4.5'in ise ikinci kampanyada sahte siteyi gerçek olarak sınıflandırdığını tespit etti.
Araştırmacılar, AI ajanlarının web'den aldığı içeriklerin potansiyel olarak düşmanca kabul edilmesi gerektiğini vurguluyor. Organizasyonların, otonom AI iş akışlarını kullanırken ajanların araç izinlerini kısıtlaması ve ödeme gibi kritik işlemleri varsayılan olarak devre dışı bırakması öneriliyor. Zscaler raporu, 'AI ajanları web için yaygın bir arayüz haline geldikçe, içerik saldırı yüzeyi büyüyecek. AI, iş akışlarını kolaylaştıran çift uçlu bir kılıç; yeni istismar yolları da açıyor' uyarısında bulunuyor.