Siber güvenlik araştırmacıları, yetkilendirme korkuluklarını aşmanın ve Google Takvim’i bir veri çıkarma mekanizması olarak kullanmanın bir yolu olarak Google Gemini’yi hedef alan dolaylı istem enjeksiyonundan yararlanan bir güvenlik kusurunun ayrıntılarını açıkladılar.
Miggo Security’nin Araştırma Başkanı Liad Eliyahu, güvenlik açığının, standart bir takvim davetinde hareketsiz bir kötü amaçlı yükü gizleyerek Google Takvim’in gizlilik kontrollerini aşmayı mümkün kıldığını söyledi.
The Hacker News ile paylaşılan bir raporda Eliyahu, “Bu bypass, özel toplantı verilerine yetkisiz erişime ve herhangi bir doğrudan kullanıcı etkileşimi olmadan yanıltıcı takvim etkinliklerinin oluşturulmasına olanak sağladı.” dedi.
Saldırı zincirinin başlangıç noktası, tehdit aktörü tarafından oluşturulan ve hedefe gönderilen yeni bir takvim etkinliğidir. Davetin açıklaması, isteklerini yerine getirmek için tasarlanmış bir doğal dil istemi içerir ve bu da anında enjeksiyonla sonuçlanır.
Saldırı, bir kullanıcı Gemini’ye programlarıyla ilgili tamamen zararsız bir soru sorduğunda (örneğin, Salı günü herhangi bir toplantım var mı?) yapay zeka (AI) sohbet robotunun yukarıda belirtilen etkinliğin açıklamasında belirli bir gün için tüm kullanıcıların toplantılarını özetlemek, bu verileri yeni oluşturulan bir Google Takvim etkinliğine eklemek için özel olarak hazırlanmış istemi ayrıştırmasını ve ardından kullanıcıya zararsız bir yanıt vermesini istediğinde etkinleştirilir.
Miggo, “Ancak perde arkasında Gemini yeni bir takvim etkinliği oluşturdu ve hedef kullanıcımızın özel toplantılarının tam bir özetini etkinliğin açıklamasına yazdı” dedi. “Birçok kurumsal takvim yapılandırmasında, yeni etkinlik saldırgan tarafından görülebiliyordu ve saldırganın, hedef kullanıcı herhangi bir işlem yapmadan sızdırılan özel verileri okumasına olanak tanıyordu.”
Her ne kadar sorun sorumlu bir şekilde ifşa edildikten sonra ele alınmış olsa da, bulgular bir kez daha yapay zekaya özgü özelliklerin saldırı yüzeyini genişletebileceğini ve daha fazla kuruluşun iş akışlarını otomatikleştirmek için yapay zeka araçlarını kullanması veya kendi aracılarını dahili olarak oluşturması nedeniyle yanlışlıkla yeni güvenlik riskleri ortaya çıkarabileceğini gösteriyor.
Eliyahu, “Yapay zeka uygulamaları, anlamak için tasarlandıkları dil aracılığıyla değiştirilebilir” dedi. “Güvenlik açıkları artık kodla sınırlı değil. Artık dil, bağlam ve çalışma zamanındaki yapay zeka davranışında da yaşıyorlar.”
Açıklama, Varonis’in, saldırganların kurumsal güvenlik kontrollerini atlayarak tek bir tıklamayla Microsoft Copilot gibi yapay zeka (AI) sohbet robotlarından hassas verileri sızdırmasını mümkün kılabilecek Reprompt adlı bir saldırıyı ayrıntılarıyla açıklamasından birkaç gün sonra geldi.
Bulgular, büyük dil modellerinin (LLM’ler) temel emniyet ve güvenlik boyutları boyunca sürekli olarak değerlendirilmesi, bunların halüsinasyon, gerçek doğruluk, önyargı, zarar ve jailbreak direncine yönelik eğilimlerini test ederken aynı zamanda AI sistemlerini geleneksel sorunlardan koruma ihtiyacını göstermektedir.
Daha geçen hafta, Schwarz Group’un XM Cyber’i, Google Cloud Vertex AI’nin Agent Engine ve Ray içindeki ayrıcalıkları artırmanın yeni yollarını ortaya çıkararak kuruluşların, AI iş yüklerine bağlı her hizmet hesabını veya kimliği denetleme ihtiyacının altını çizdi.
Araştırmacılar Eli Shparaga ve Erez Hasson, “Bu güvenlik açıkları, minimum izinlere sahip bir saldırganın yüksek ayrıcalıklı Hizmet Aracılarını ele geçirmesine ve bu ‘görünmez’ yönetilen kimlikleri etkin bir şekilde ayrıcalık artışını kolaylaştıran ‘çifte aracılara’ dönüştürmesine olanak tanıyor” dedi.
Çift aracılı kusurların başarılı bir şekilde kullanılması, bir saldırganın tüm sohbet oturumlarını okumasına, LLM anılarını okumasına ve depolama paketlerinde depolanan potansiyel olarak hassas bilgileri okumasına veya Ray kümesine kök erişimi elde etmesine olanak tanıyabilir. Google, hizmetlerin şu anda “amaçlandığı gibi çalıştığını” belirtirken, kuruluşların Görüntüleyici rolündeki kimlikleri incelemesi ve yetkisiz kod enjeksiyonunu önlemek için yeterli kontrollerin mevcut olduğundan emin olması önemlidir.
Bu gelişme, farklı yapay zeka sistemlerinde birden fazla güvenlik açığının ve zayıflığın keşfedilmesiyle aynı zamana denk geliyor.
- TheLibrarian.io tarafından sağlanan, yapay zeka destekli bir kişisel asistan aracı olan The Librarian’daki güvenlik kusurları (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 ve CVE-2026-0616), bir saldırganın yönetici konsolu ve bulut ortamı da dahil olmak üzere dahili altyapısına erişmesine ve sonuçta bulut meta verileri gibi hassas bilgilerin sızdırılmasına ve süreçlerin sistem içinde çalıştırılmasına olanak tanır. arka uç ve sistem istemi veya dahili arka uç sisteminde oturum açın.
- Sistem istemlerinin, amaç tabanlı LLM asistanlarından bilgileri form alanlarında Base64 kodlu biçimde görüntülemelerini isteyerek nasıl çıkarılabileceğini gösteren bir güvenlik açığı. Praetorian, “Bir Yüksek Lisans herhangi bir alana, günlüğe, veritabanı girişine veya dosyaya yazan eylemleri yürütebiliyorsa, sohbet arayüzünün ne kadar kilitli olduğuna bakılmaksızın her biri potansiyel bir sızma kanalı haline gelir” dedi.
- Antropik Claude Kodu için bir pazaryerine yüklenen kötü amaçlı bir eklentinin, kancalar yoluyla döngüdeki insan korumalarını atlamak ve dolaylı istem enjeksiyonu yoluyla bir kullanıcının dosyalarını dışarı çıkarmak için nasıl kullanılabileceğini gösteren bir saldırı.
- Cursor’da (CVE-2026-22708), aracılı IDE’lerin kabuk yerleşik komutlarını nasıl işlediğine ilişkin temel bir gözetimden yararlanarak dolaylı istem enjeksiyonu yoluyla uzaktan kod yürütülmesine olanak tanıyan kritik bir güvenlik açığı. Pillar Security, “Tehdit aktörleri, ihracat, dizilim ve deklarasyon gibi örtülü olarak güvenilen kabuk yerleşiklerini kötüye kullanarak, ortam değişkenlerini sessizce manipüle edebilir ve bu da daha sonra meşru geliştirici araçlarının davranışını zehirleyebilir” dedi. “Bu saldırı zinciri, git Branch veya python3 script.py gibi zararsız, kullanıcı onaylı komutları rastgele kod yürütme vektörlerine dönüştürüyor.”
Beş Vibe kodlama IDE’sinin güvenlik analizi; Kodlama aracılarını bulan Cursor, Claude Code, OpenAI Codex, Replit ve Devin, SQL enjeksiyonlarından veya XSS kusurlarından kaçınma konusunda başarılılar ancak konu SSRF sorunlarını, iş mantığını ele alma ve API’lere erişirken uygun yetkilendirmeyi uygulama konusunda zorluk yaşıyorlar. Daha da kötüsü, araçların hiçbirinde CSRF koruması, güvenlik başlıkları veya oturum açma hızı sınırlaması yoktu.
Test, titreşim kodlamanın mevcut sınırlarını vurguluyor ve insan gözetiminin bu boşlukları gidermede hala önemli olduğunu gösteriyor.
Tenzai’den Ori David, “Kodlama aracılarına güvenli uygulamalar tasarlama konusunda güvenilemez” dedi. Aracılar güvenli kod üretebilseler de (bazen) açık bir rehberlik olmaksızın kritik güvenlik kontrollerini uygulamada sürekli olarak başarısız olurlar. Sınırların net olmadığı durumlarda (iş mantığı iş akışları, yetkilendirme kuralları ve diğer incelikli güvenlik kararları) aracılar hata yapacaktır.”