Yeni BioShocking Saldırısı, Yapay Zeka Tarayıcılarını Kullanıcı Kimlik Bilgilerini Sızdırmaya Yönlendiriyor Windows

Yeni BioShocking Saldırısı, Yapay Zeka Tarayıcılarını Kullanıcı Kimlik Bilgilerini Sızdırmaya Yönlendiriyor

Bir AI tarayıcısını oyun oynadığına ikna edin, böylece giriş bilgilerinizi verebilir. Güvenlik firması LayerX'in altı yapay zeka tarayıcısını ve asist...

Bir AI tarayıcısını oyun oynadığına ikna edin, böylece giriş bilgilerinizi verebilir. Güvenlik firması LayerX'in altı yapay zeka tarayıcısını ve asistanını bir kullanıcının kimlik bilgilerini kopyalayıp bir saldırgana göndermesi için kandıran bir teknik olan BioShocking'in arkasındaki bulgu budur.

Hedefler arasında OpenAI'nin ChatGPT Atlas'ı, Perplexity'nin Comet'i ve Anthropic'in Claude tarayıcı uzantısı yer alıyordu.

Yapay zeka tarayıcısı yalnızca sayfaları okumakla kalmayıp sizin adınıza da hareket edebilen bir tarayıcıdır. Aracı moduna geçin; tıklayabilir, yazabilir ve zaten oturum açmış olduğunuz sitelere erişebilir. Bütün mesele bu erişimdir ve aynı zamanda sorun da budur.

İşin püf noktası, bu ajanların okuma şekli nedeniyle işe yarıyor. Web sayfası ve kendi talimatlarınız tek bir metin akışı olarak gelir. Bu, kötü niyetli bir sayfanın sıradan içerik veya oyun kuralları gibi görünen komutlara sızmasına neden olur ve aracı, farkı güvenilir bir şekilde anlayamaz. Araştırmacılar buna dolaylı istem enjeksiyonu adını veriyor.

Hile nasıl çalışıyor?

Saldırı, bulmaca şeklinde oluşturulmuş bir web sayfasıyla başlıyor. Distopik temasına uygun olarak bulmaca, 2 + 2 = 5'te ısrar etmek gibi yanlış cevapları ödüllendirir. Temsilci "yanlış"ın kazanan hamle olduğunu kabul ettiğinde güvenlik mantığı yerine oyun mantığını takip eder. Bulmacanın son adımı, kullanıcının kimlik bilgilerini almasını istiyor ve altı aracıdan hiçbiri bunu reddetmesi gereken bir şey olarak işaretlemedi.

Tehlikeli kısım ajanın baktığı yerdir. Testte kurbanın GitHub deposuna bir bağlantı gönderildi ve burada SSH oturum açma kimlik bilgileri alınarak saldırgana iletildi.

LayerX zararsız bir düz metin dosyası kullandı, ancak aynı hile aracıyı o oturumda ulaşabileceği diğer kaynaklara yönlendirebilir: açık sekmeler, oturum açılmış hesaplar ve dahili araçlar. Temsilci tereddüt etmedi. Daha sonra neşeyle hırsızlığı bir kazanç olarak bildirdi.

İsim, beyni yıkanmış bir karakterin "Nazik olur musunuz?" tetikleyici ifadesine uyduğu BioShock'a gönderme yapıyor. Temsilci de farklı değil. Kendisine sunulan bağlama güvenir. Bağlamı değiştirdiğinizde ne yapacağını da değiştirmiş olursunuz.

LayerX bu modeli daha önce göstermişti ve tek bir tıklamanın Perplexity'nin Kuyrukluyıldızını ele geçirebileceğini ve verileri sessizce çalabileceğini göstermişti.

Satıcılar ne yaptı ve ne yapmalı?

LayerX'in açıklamasına göre yanıtlar dengesizdi. Sorunu Ekim 2025 ile Ocak 2026 arasında satıcılara bildirdi. OpenAI, sorunu ChatGPT Atlas'ta düzeltti. Şaşkınlık, harekete geçmeden raporu kapattı.

Fellou, Genspark ve Sigma yanıt vermedi. Anthropic, Claude uzantısına yama eklemeye çalıştı ancak LayerX, düzeltmenin işe yaramadığını söylüyor.

Saldırıyı durdurmak için LayerX, AI tarayıcılarının oturum açmış hesaplardan okuma yapmadan önce sormasını istiyor. "GitHub deponuzdan veri kopyalamak üzereyim. Devam edilsin mi?" şeklindeki bir komut istemi zinciri kırabilir.

Ayrıca, bir sayfa onlara normal kuralların artık geçerli olmadığını söylediğinde temsilcilerin bunu fark etmesini ve kullanıcıların bir temsilcinin dokunabileceği şeylere katı sınırlar koymasına izin vermesini istiyor. Bir oyunu kazanmak özel bir depo açmak için bir neden değildir.

Kullanıcılar için tavsiyeler daha kısadır. Temsilci modunu dikkatli kullanın: Oturum açtığınız her şey adil bir oyundur, bu nedenle tarayıcının neyi görmesi gerektiğine karar verin ve işiniz bittiğinde bu erişimi kesin. Güvenlik ekipleri için aynı mantık ölçeklenir.

Temsilci modundaki bir AI tarayıcısı, şirket sistemlerine erişimi olan başka bir hesaptır ve kullanıcının dokunabileceği her şeye sabit bir geçiş yerine, bir görevin ihtiyaç duyduğu en dar erişime sahip olmalıdır.

Bu bulgulardaki ortak nokta, oturum açtığınız hesapların anahtarlarını bir AI temsilcisine teslim etmenin, jailbreak işlemini bir parti numarasından gerçek erişime dönüştürmesidir.

Paylaş: