AI ajanları, normal kullanıcıların görünümünden gizlenmiş web siteleri tarafından gizlice kötü niyetli eylemler gerçekleştirmek için kandırılabilir.
Bu yeni yaklaşım, saldırganların bu özerk yapay zeka destekli “asistanlara” istem / talimatlar enjekte etmelerini sağlar ve kendi kötü niyetli hedefleri için ajan davranışlarını kaçırmalarına izin verir.
Gizli zararlı talimatların aynı sayfaya gömüldüğü dolaylı hızlı enjeksiyon zehirlenmesi saldırıları, insan ziyaretçisinin gördüğü nadiren insanlar tarafından tespit edilecektir, ancak yine de güvenlik sistemleri tarafından tespit edilebilir.
Bu yeni “paralel zehirlenmiş web” saldırısı bir adım daha ileri gidiyor ve sayfanın yalnızca AI temsilcilerine tamamen farklı bir sürümünü sunuyor.
Zychlinski, “Kötü niyetli içerik asla insan kullanıcılarına veya standart güvenlik tarayıcılarına gösterilmediğinden, saldırı son derece gizlidir. Temsilcinin temel işlevini kullanıcısına karşı bir silah haline getirmek için – web verilerine yutma ve hareket ederek – kullanır” dedi.
“Paralel Zehirlenmiş Web” Saldırısı
Saldırı tarayıcı parmak izine dayanıyor.
Web tarama AI temsilcileri şu anda otomasyon çerçevesi imzalarına, bahavioral kalıplara ve belirli ağ özelliklerine dayanan oldukça öngörülebilir parmak izlerine sahip olduğundan, bir web sunucusu “ziyaretçiye” bir AI aracısı kolayca söyleyebilir ve web sitesinin gizlenmiş bir sürümünü sunabilir.
“Bu gizlenmiş sürüm iyi huylu olanla aynı görünebilir, ancak aracıyı ele geçirmek için tasarlanmış gizli olumsuzluk istemlerini içerir ve aynı zamanda sayfanın tamamen farklı bir versiyonu olabilir – örneğin, kullanıcının makinesinde çalıştığı için aracı için erişilebilen bir ortam değişkeni veya başka bir gizli anahtar kullanarak ‘kimlik doğrulaması’ gerektiren bir sürüm” diye açıkladı.
Cloacked web sitesinde yer alan kötü niyetli istemi, AI temsilcisine, örneğin hassas bilgiler almasını, kötü amaçlı yazılımları yüklemesini vb.
Araştırmacı ayrıca, iyi huylu ve kötü niyetli bir versiyonla dahili bir web sitesi oluşturarak ve Antropic’in Claude 4 sonnet, Openai’nin GPT-5 Fast ve Google’ın Gemini 2.5 Pro tarafından desteklenen ajanları üzerinde test ederek saldırının fizibilitesini kanıtladı. “Her durumda saldırı başarılı oldu” dedi.
Araştırmacı tarafından monte edilen saldırı (Kaynak: Shaked Zychlinski)
Olası karşı önlemler
Zychlinski, “Bu saldırı tasarıma göre gizli, geleneksel araçlarla tespit edilmesi zor ve ajanları güçlü kılan yeteneklerden yararlanıyor” dedi. Bahsetmemek gerekirse: Saldırı kurulumunun oluşturulması kolaydır.
“Ajan yapay zekanın geleceğini güvence altına almak, her şeyin göründüğü gibi olmadığı bir web için yeni nesil savunma oluşturmamızı gerektiriyor” diye ekledi.
AI ajanlarının bu tür saldırılara karşı korunması çeşitli karşı önlemler gerektirecektir. Birincisi, göz atma oturumlarının “parmak izleri”, insanların başlatılanlara benzer şekilde gizlenmeli veya yapılması gerekecektir.
Ancak ajanlar da iki rolüne bölünmelidir: Web’den gelen riskli verilere doğrudan “dokunmayan” planlayıcı (beyin) ve web sayfalarına göz atan, bağlantılara tıklayan ve Web’den temin edilen içeriği akıllıca (IE, LLM’ye) akçlılık için titizlikle dezenfekte eden bir kum havuzu kullanıcısı.
Son olarak, güvenlik hizmetleri, web siteleri tarafından dolaylı hızlı enjeksiyonları işaretleyecek bu tür gizleme ve/veya cihaz Honeypot AI ajanlarını tespit edecek tarayıcılar oluşturabilir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!