Ajansal Yapay Zeka, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Yapay Zeka Firması Yeni Hızlı Enjeksiyon Saldırı Sınıfını Keşfediyor
Rashmi Ramesh (raşmiramesh_) •
23 Aralık 2025
OpenAI, ChatGPT Atlas web tarayıcısını ani enjeksiyon saldırılarına karşı korumak için yıllarca süren bir savaşla karşı karşıya; şirket, insanları hedef alan çevrimiçi dolandırıcılıklara karşı silahlanma yarışına benzer şekilde, şirketin savunmanın sürekli güçlendirilmesini gerektireceğini söylediği bir tehdit.
Ayrıca bakınız: Kavram Kanıtı: Yapay Zeka Ajanları Çağı İçin Kimliği Yeniden Düşünmek
Şirket, yeni bir hızlı enjeksiyon saldırıları sınıfının otomatik kırmızı ekip oluşturma yoluyla dahili olarak keşfedilmesinin ardından Atlas’a bir güvenlik güncellemesi gönderdi.
Hızlı enjeksiyon saldırıları, yapay zeka aracılarının işlediği içeriğe kötü amaçlı talimatlar yerleştirir ve bunun yerine aracının, saldırganın komutlarını takip etme yönündeki amaçlanan davranışını geçersiz kılar. ChatGPT Atlas’taki gibi tarayıcı aracıları için bu, geleneksel web güvenliği risklerinden farklı bir tehdit oluşturur.
Saldırı yüzeyi geniştir. Temsilciler e-postalarda, eklerde, takvim davetlerinde, paylaşılan belgelerde, forumlarda, sosyal medya gönderilerinde ve web sayfalarında güvenilmeyen talimatlarla karşılaşabilir. Aracı, bir kullanıcının tarayıcıda gerçekleştirebileceği birçok eylemi gerçekleştirebildiğinden, saldırılar hassas e-postaların iletilmesi, para gönderilmesi, bulut dosyalarının düzenlenmesi veya silinmesi ve diğer zararlı eylemlerle sonuçlanabilir.
OpenAI, tarayıcı aracısına yönelik hızlı enjeksiyon saldırılarını keşfetmek için takviyeli öğrenmeyle eğitilmiş otomatik bir saldırı sistemi oluşturdu. Başarılardan ve başarısızlıklardan ders alır. Mantık yürütme süreci sırasında enjeksiyon saldırıları önerdi ve bunları, kurban ajanın nasıl tepki vereceğini gösteren bir simülatöre gönderdi. Saldırgan, bu geri bildirimi, saldırıları tamamlamadan önce birden fazla yineleme yoluyla hassaslaştırmak için kullanır.
Otomatik saldırgan, OpenAI’nin yeni bir saldırı sınıfı olarak adlandırdığı şeyi keşfetti: ajanları onlarca veya yüzlerce adımı kapsayan zararlı iş akışlarını yürütmeye yönlendirme yeteneği. Bu, genellikle belirli çıktı dizelerini ortaya çıkaran veya tek adımlı araç çağrılarını tetikleyen daha basit anlık enjeksiyon saldırılarıyla çelişir.
Bir örnekte, otomatik saldırgan, kullanıcının gelen kutusuna, aracıyı kullanıcının genel müdürüne bir istifa mektubu göndermeye yönlendiren talimatları içeren kötü amaçlı bir e-posta yerleştirdi. Kullanıcı daha sonra aracıdan ofis dışında bir yanıt taslağı talep ettiğinde, aracı normal görev yürütme sırasında kötü amaçlı e-postayla karşılaştı, enjekte edilen istemi yetkili olarak değerlendirdi ve istenen ofis dışında yanıt yerine istifa mesajını gönderdi.
OpenAI, hızlı enjeksiyonu, yıllarca üzerinde çalışmayı beklediği aracı güvenliği için açık bir zorluk olarak tanımlıyor. OpenAI, “Web’deki dolandırıcılık ve sosyal mühendislik gibi hızlı enjeksiyonun da tamamen ‘çözülmesi’ pek mümkün değil” diye yazdı.
ChatGPT Atlas’taki aracı modu, tarayıcı aracısının web sayfalarını görüntülemesine ve kullanıcının tarayıcısında eylemler, tıklamalar ve tuş vuruşları yapmasına olanak tanır. Bu işlevsellik, ChatGPT’nin kullanıcılarla aynı bağlamı ve verileri kullanarak günlük iş akışları üzerinde çalışmasına olanak tanır. Tarayıcı aracısı daha fazla görevi yerine getirdikçe, düşmanca saldırılar için daha yüksek değerli bir hedef haline gelir. Atlas’a yönelik bir güvenlik güncellemesi, rakiplere karşı eğitilmiş bir model ve güçlendirilmiş güvenlik önlemleri içerir.
OpenAI, hızlı enjeksiyon sorunuyla yüzleşmede yalnız değil. Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Aralık ayı başlarında, üretken yapay zeka uygulamalarına yönelik ani enjeksiyon saldırılarının hiçbir zaman tamamen hafifletilemeyeceği konusunda uyardı ve kuruluşlara, saldırıları tamamen durdurmaya çalışmak yerine riski ve etkiyi azaltmaya odaklanmalarını tavsiye etti.