Promptware Kill Chain, büyük dil modelleri (LLM’ler) tarafından desteklenen yapay zeka sistemlerine yönelik saldırıların nasıl tek seferlik “hızlı enjeksiyon” hilelerinden çok tam kötü amaçlı yazılım kampanyaları gibi davrandığını açıklayan beş adımlı yeni bir modeldir.
Kötü amaçlı istemleri ve zehirlenmiş içeriği, istem yazılımı olarak adlandırılan farklı bir kötü amaçlı yazılım türü olarak ele alır ve bu saldırıların ilk erişimden tam sistem güvenliğinin ihlal edilmesine ve veri hırsızlığına nasıl ilerlediğini haritalar.
Promptware Nedir ve Neden Önemlidir?
İstem yazılımı, kötü amaçlı etkinliği tetiklemek amacıyla izinlerini kötüye kullanmak amacıyla bir LLM uygulamasına beslenen herhangi bir giriş metni, görüntü, ses veya diğer içerik olarak tanımlanır.
Kabuk kodu veya ikili dosyalar yerine “yük”, modelin talimatlar olarak yorumladığı doğal dil veya çok modlu içeriktir.
Yazarlar, her şeyin “hızlı enjeksiyon” altında gruplandırılmasının, modern saldırıların, solucanlar veya fidye yazılımı kampanyaları gibi geleneksel kötü amaçlı yazılımlara benzer çok aşamalı operasyonlar olduğu gerçeğini gizlediğini öne sürüyor.
Modelleri, beş farklı aşamayı tanıtarak klasik siber öldürme zincirini yapay zekaya uyarlıyor: İlk Erişim, Ayrıcalık Artışı, Kalıcılık, Yanal Hareket ve Hedefe Yönelik Eylemler.
İstemci Yazılım Öldürme Zincirinin Beş Adımı
Öldürme zinciri, kötü niyetli talimatların LLM’nin bağlam penceresine doğrudan veya dolaylı bilgi istemi enjeksiyonu yoluyla girdiği İlk Erişim ile başlar.
Doğrudan saldırılar, hazırlanmış girdi yazan bir kullanıcıdan gelirken dolaylı saldırılar, web sayfaları, e-postalar, takvim davetleri veya alma destekli üretim (RAG) sistemleri tarafından getirilen belgeler gibi harici içerikteki istemleri gizler.
Multimodal modeller bu adımı daha da genişleterek görüntülerdeki veya sesteki gizli istemlerin salt metin filtrelerini atlamasına olanak tanır.
Ayrıcalık Artışı, saldırganların modelin reddetmesi gereken eylemleri gerçekleştirmesini sağlamak için güvenlik eğitimini ve hizalamayı atladığı jailbreak yoluyla gerçekleşir.
Teknikler arasında “önceki talimatları göz ardı etme” geçersiz kılmaları, “Şimdi Her Şeyi Yapın” (DAN) gibi kişiye dayalı istemler, rol yapma, ASCII sanatı veya Unicode hileleri gibi karmaşık kodlamalar ve birden fazla satıcının modelini aynı anda jailbreak yapan evrensel düşmanca son ekler yer alır.
Bu adım, güvenliği ihlal edilmiş bir işletim sisteminde daha yüksek ayrıcalıklar kazanmakla karşılaştırılabilir ancak burada “ayrıcalık”, modelin güçlü araçları kullanma veya kısıtlı bilgileri açığa çıkarma isteğidir.
Kalıcılık, Yanal Hareket ve Nihai Etki
Kalıcılık, RAG veritabanları ve uzun süreli bellek özellikleri gibi durum bilgisi olan bileşenleri kötüye kullanarak kötü niyetli etkiyi tek bir sohbet oturumunun ötesinde canlı tutmaya odaklanır.
Morris II AI solucanı ve MemoryGraft gibi erişime bağımlı kalıcılıkta, zehirlenmiş içerik e-posta veya bilgi tabanlarında kalır ve ilgili bağlam olarak alındığında yeniden etkinleştirilir.
ChatGPT’nin bellek özelliği ve SpAIware’de gösterilen, erişimden bağımsız kalıcılıkta, yük, asistanın belleğinde depolanır ve gelecekteki her konuşmaya sessizce enjekte edilir, hatta zaman içinde uzaktan komut ve kontrole olanak sağlar.
Yanal Hareket, bir yapay zeka asistanının güvenliği ihlal edildiğinde istem yazılımının kullanıcılar, sistemler ve hizmetler arasında nasıl yayıldığını açıklar.
“Here Comes the AI Solucanı” gibi kendi kendini kopyalayan solucanlar, asistanları kötü niyetli istemleri giden e-postalara kopyalamaya zorlayarak benzer bir AI asistanı kullanan her alıcıya bulaşıyor.
İzin tabanlı hareket, akıllı ev cihazlarını kontrol etmek, Zoom’u başlatmak veya tarayıcılardan veri sızdırmak için Google Gemini destekli Android Asistan gibi son derece ayrıcalıklı asistanları kötüye kullanır; boru hattı tabanlı hareket (örneğin, Cursor’a AgentFlayer saldırıları) sırları çalmak için müşteri kayıtlarından geliştirici araçlarına normal iş akışlarını yönlendirir.
Hedefe Yönelik Eylemler, saldırganların veri sızdırma ve kimlik avından fiziksel ve mali hasara veya uzaktan kod yürütmeye kadar somut sonuçlara ulaştığı son aşamadır.
Vaka çalışmaları arasında asistanların hassas e-postaları sızdırması, pencereleri açmak veya kameraları etkinleştirmek için IoT cihazlarını kontrol etmesi, ticari sohbet robotlarını uygun olmayan anlaşmalar için kandırması, AiXBT gibi kripto para birimi ticaret acentelerini tüketmesi ve tam uzaktan kod yürütme için AI IDE’lerin kabuk araçlarından (Agentic ProbLLM’ler) yararlanması yer alıyor.
Bu son adımın ciddiyeti, yapay zeka sistemine entegre edilen araçlara, izin kapsamına ve insan incelemesi olmadan ne kadar özerk hareket edebildiğine bağlıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.