Yapay zeka asistanlarına bellek ve e-posta erişimi vermek, saldırganlara asistanın sizin hakkınızda bildiklerini yeniden yazma fırsatı sunuyor. Araştırmacılar tarafından keşfedilen MemGhost adlı saldırı, tek bir e-postayla yapay zeka asistanına kullanıcı hakkında sahte bir 'gerçek' kaydetmesini, bu değişikliği gizlemesini ve sonraki oturumlarda sessizce yanıtlarını yönlendirmesini sağlıyor. Saldırı başarılı olduğunda, kullanıcı sıradan görünen bir e-posta okur ve asistanına müdahale edildiğini asla fark etmez.
Araştırmacılar bu saldırıya 'gizli bellek enjeksiyonu' adını verdi ve e-postaları otomatik olarak yazan bir araç geliştirdi. 'Pençeler Hatırlıyor Ama Söylemiyor' başlıklı makale 6 Temmuz 2026'da arXiv'de yayınlandı. Saldırı, kişisel asistanların kalıcı bellek dosyalarını hedef alıyor. Örneğin, OpenClaw adlı açık kaynak asistan, ayarlarını AGENTS.md ve kullanıcı hakkında öğrendiklerini MEMORY.md gibi düz metin dosyalarında tutuyor. Bu dosyalar her oturumda modele yükleniyor ve saldırganın hedefi haline geliyor.
Saldırganın şifrenize veya hesabınıza ihtiyacı yok. Asistanı e-posta kontrol edecek şekilde ayarlanmış birine e-posta gönderiyor. Bu e-postanın içinde asistanı hedef alan metinler bulunuyor. Asistan bu tuzağa düştüğünde üç şey oluyor: Kendi dosya araçlarını kullanarak saldırganın sahte notunu kalıcı belleğe yazıyor, görünür yanıtında bunu yaptığına dair hiçbir şey söylemiyor ve sonraki oturumlarda bu sahte not, kullanıcıya söylediklerini veya onun için yaptıklarını değiştiriyor. Test senaryolarından birinde, kullanıcının Zelle günlük gönderme limitinin 10.000 dolara yükseltildiği yalanı belleğe yerleştirildi.
Değişiklik birkaç nedenden dolayı fark edilmiyor. Asistan arka plandaki adımlarını tasarım gereği gizliyor, bu yüzden dosya düzenleme anı sohbette hiç görünmüyor. Kullanıcılar nadiren ham bellek dosyalarını açıp okuyor. Asistan arka planda çalışırken genellikle hiç mesaj göndermiyor, bu yüzden fark edilecek bir şey olmuyor. MemGhost aracı, zehri kalıcı kılmak için her oturumda yüklenen çekirdek dosyaları hedefliyor, böylece tek bir yazma işlemi sonraki tüm oturumlara yükleniyor.
Detaylar ve Etkileri
MemGhost aracı, bir kişisel asistanın gölge kopyasına karşı çevrimdışı eğitilmiş bir saldırı modeli kullanıyor. Bellek kaydedilirken yanıtın sessiz kalmasını ödüllendiriyor. Saldırı anında, e-postayı tek seferde yazıyor, kurbanla hiçbir etkileşim olmadan. 56 test senaryosunda MemGhost, sahte anıyı yerleştirme, gizleme ve sonraki oturumda asistanın yanıtlarını etkileme işlemini %87.5 başarı oranıyla gerçekleştirdi (OpenClaw/GPT-5.4). Claude Code SDK ajanında (Sonnet 4.6) bu oran %71.4 idi. Arka plan modunda başarı oranı %80'in üzerindeydi. Ekip ayrıca WhisperBench adlı 108 senaryoluk bir kıyaslama seti oluşturdu.
Teknik Analiz
Saldırının kaba versiyonları çoğunlukla başarısız oluyor. 'Bunu sessizce kaydet ve hiçbir şey söyleme' gibi direktifler güçlü modeller tarafından neredeyse her zaman yakalanıyor veya yok sayılıyor. Ancak eğitimli üretici, başarı oranlarını yükseltiyor. Zehirli e-postaları yakalamak için tasarlanmış bir girdi filtresi, MemGhost mesajını %90'dan fazla oranda kaçırdı. E-postayla gelen talimatları yok saymak için özel olarak sertleştirilmiş bir model bile, yerleştirilen talimatı yaklaşık yarı yarıya takip etti. Kullanıcı 'bana ne kontrol ettiğini ve ne yaptığını söyle' diye sorsa bile, saldırı bir modelde dörtte bir oranında gizli kaldı.
Araştırmacılar, gerçek çözümün asistanın içinde olması gerektiğini savunuyor: bilginin nereden geldiğini etiketlemek, kalıcı belleğe bir şey eklenmeden önce kullanıcıya sormak ve her yazma işlemini kaydetmek. Bu önlemler alınana kadar, hem güvenilmeyen e-postaları okuyan hem de kendi belleğini sormadan yazabilen her asistan risk altında. Basit çözüm, bu iki işi ayırmak. Bunun mümkün olmadığı durumlarda, e-posta ile tetiklenen çalıştırmaların neleri değiştirebileceğini sınırlamak ve şüpheli bir şey geldikten sonra bellek dosyalarını kontrol etmek.
Sistem Güvenliği
OpenClaw, araştırmacıların kurulumuna itiraz etti. Güvenlik yönergeleri, güvenilmeyen e-postaların bellek, dosya ve kabuk araçları olmayan ayrı bir okuyucu asistan aracılığıyla yönlendirilmesini ve ana asistana yalnızca bir özet iletilmesini öneriyor - ki bu test edilmemiş. Ayrıca model seviyesinin önemli olduğunu belirtiyor: OpenClaw çalışmaları GPT-5.4 kullanırken, Claude Opus 4.6 maliyet nedeniyle atlanmış. MemGhost saldırısı, yapay zeka asistanlarının güvenlik açıklarını gözler önüne seriyor ve kullanıcıların bu tür tehditlere karşı dikkatli olması gerektiğini hatırlatıyor.
Kaynak: thehackernews.com