Yeni Veri Enjeksiyonu Saldırısı Yapay Zeka Ajanlarını Yanıltıyor ve Kötü Niyetli Komutlar Çalıştırıyor

Anasayfa » Yeni Veri Enjeksiyonu Saldırısı Yapay Zeka Ajanlarını Yanıltıyor ve Kötü Niyetli Komutlar Çalıştırıyor
Yeni Veri Enjeksiyonu Saldırısı Yapay Zeka Ajanlarını Yanıltıyor ve Kötü Niyetli Komutlar Çalıştırıyor

Yapay zeka ajanlarını doğrudan ele geçirmek yerine, onlara güvenilen küçük veri parçalarını bozan yeni bir saldırı türü ortaya çıktı. Güney Kore, ABD ve Avrupa’dan araştırmacıların ortak çalışmasıyla geliştirilen bu yöntem, ajanların işlevlerini manipüle ederek saldırganların istediği yanlış komutları çalıştırmasını sağlıyor.

Saldırının İşleyiş Prensibi

Yeni saldırı yaklaşımı, “agent data injection” (ADI) olarak adlandırılıyor. Ajanın aldığı veriye, örneğin bir e-posta gönderen adı ya da bir butonun kimliği gibi, gizlice zararlı veri yerleştiriliyor. Böylece klasik prompt enjeksiyon saldırılarına karşı geliştirilen savunmalar aşılmış oluyor. Çünkü bu saldırı, doğrudan komut vermek yerine, ajanın güvenle işlediği küçük veri ögelerini manipüle ediyor.

Normalde, yapay zeka ajanları verilen talimatlarla (yani kullanıcı ve geliştiricinin komutlarıyla) ve işlem sırasında topladığı verilerle çalışır. Örneğin bir e-postanın içeriği ya da bir web sayfasındaki butonlar gibi. Prompt enjeksiyonu saldırıları komutları gizli metin içinde saklar, ancak ADI yöntemi doğrudan bu küçük veri alanlarını hedef alıyor. Böylece ajan, saldırganın yerleştirdiği yanlış verilerle işlemini sürdürüyor.

Modelin Yanıltılması: Sahte Noktalama İşaretleri

ADI saldırısı, “probabilistic delimiter injection” yani olasılıksal ayraç enjeksiyonu adı verilen teknikle uygulanıyor. Yapay zeka modelleri, verileri ayırmak için noktalama işaretlerine (tırnak işaretleri, köşeli parantezler, satır atlamaları gibi) güveniyor. Ancak model bu noktalama işaretlerini katı kurallarla değil, olasılık hesaplarıyla değerlendiriyor. Saldırganlar da bu noktadan faydalanarak, kontrol ettikleri veri alanlarına benzer noktalama işaretleri serpiştiriyor. Model ise bunları gerçek yapısal öğeler gibi algılayarak, var olmayan ek bilgiler görüp işlem yapıyor.

Denemelerde, kaçış karakteriyle belirtilmiş tırnak işareti (\”), kıvrımlı tırnaklar veya dolar işareti gibi karakterler bile modelin gözünde gerçek ayraç olarak kabul edilebiliyor. Doğru yapısal analiz yapan bir program bunları sadece düz metin olarak okurken, yapay zeka bu sahte işaretlere kandırılıyor.

Gerçek Araçlarda Saldırı Senaryoları

Çalışmada, Google’ın Antigravity, Nanobrowser ve Claude gibi popüler web ajanları ile OpenAI Codex, Claude Code ve Google Gemini CLI gibi kodlama asistanlarında üç farklı saldırı senaryosu denendi.

Örneğin web ajanlarında, sahte bir ürün incelemesi gerçek bir butonun kimliğini taklit ediyor. Ajan, “Daha Fazla Oku” butonuna tıklaması gerekirken “Şimdi Satın Al” butonuna basıyor ve kullanıcı haberi olmadan sipariş veriyor. Kodlama asistanlarında ise, GitHub yorumlarındaki yazar satırı projeyi yöneten kişiye ait gibi sahte olarak düzenleniyor. Böylece ajan, geliştiricinin onayıyla saldırganın komutunu çalıştırıyor. Ayrıca sahte bir çekme isteği kaydı yaratılarak ajan yanıltılıyor, zararlı kod güvenli görünerek projeye dahil ediliyor.

Model Türleri ve Savunma Durumu

Saldırının etkinliği OpenAI GPT-5.2, GPT-5-mini, Anthropic Claude Opus 4.5, Sonnet 4.5, Google Gemini 3 Pro ve Flash gibi modellerde test edildi. Bu modellerin hepsi yapılandırılmış veri üzerinde %31 ila %43, web sayfası verilerinde ise %33 ile %100 arasında değişen oranlarda saldırıya açık bulundu. Klasik komut gizleme saldırıları ise neredeyse tamamen engellendi.

En etkili savunma yöntemi, her veri parçasının kaynağını takip eden ağır bir denetim mekanizması. Ne var ki, bu yöntem ajanın görevleri tamamlamasını zorlaştırıyor, ancak saldırı başarı oranını sıfıra indiriyor. Ayrıca, sayfa elemanlarına rastgele ve tahmin edilemez kimlikler atayan sistemler (örneğin ChatGPT Atlas tarayıcısı) saldırıyı önemli ölçüde engelliyor.

Teknik Özet: Saldırı Zinciri ve Savunma Adımları

ADI saldırısı, yabancıların değiştirebildiği içeriklerin ajan tarafından işlenmesi ve bu içeriğin yapay zekanın veri yapısında nasıl kodlandığının bilinmesi koşullarına dayanıyor. Araştırma ekibi, bulduğu yöntemle bulut tabanlı servislerin veri formatlarını da modelin kendisinden çok aşamalı jailbreak sorguları ile ortaya çıkarabildi. Böylece saldırganlar daha karmaşık sistemlerde bile formatı ele geçirebiliyor.

Önerilen savunma adımları:

  • Web ve GitHub ajanlarının işlediği veri kaynaklarını sıkı doğrulama ile sınırlamak.
  • Sayfa elemanlarına rastgele, öngörülemez kimlikler atamak.
  • Her veri parçasının kaynağını izleyen ve doğrulayan sistemler kurmak.
  • Prompt enjeksiyon ve veri manipülasyonunu tespit için gelişmiş EDR ve SIEM çözümleri kullanmak.
  • Kodlama asistanlarında, komut çalıştırmadan önce çoklu doğrulama ve onay mekanizmaları eklemek.

Uzun Vadeli Risk ve Gelişim

Veri ve kod ayrımı, geleneksel yazılımların uzun süredir öğrendiği temel prensiplerden biri. Yapay zeka ajanları ise genellikle bu ayrımı yapamıyor, böylece saldırganların manipülasyonuna açık hale geliyor. Bu yöntem, önceki yıllarda Microsoft 365 Copilot gibi platformlarda yaşanan ve veri sızıntısına yol açan zafiyetlerin (örneğin EchoLeak) yeni versiyonu gibi düşünülebilir.

Özellikle kodlama ortamlarında, GitHub üzerinden yayılan sahte yorum ve çekme istekleri ajanların kendi güvenlik mekanizmalarını aşmasına olanak tanıyor. Bu durum, yazılım tedarik zinciri güvenliği açısından kritik bir tehdit oluşturuyor.

Kurumsal ortamlar için önerilen yaklaşım, veri kaynaklarını ayrıştırmak, güvenilir ve güvensiz veriyi net şekilde ayırmak ve ajanların işleyişinde bu ayrımı sağlamaktır. Ayrıca, e-posta güvenliği, ağ segmentasyonu ve olay müdahale stratejileriyle desteklenmiş çok katmanlı savunma sistemleri geliştirmek gerekir.