Ajan AI, Yapay Zeka ve Makine Öğrenimi, Veri Güvenliği
Saldırganlar, AI araç erişim e -postasına izin veren kullanıcılardan fark edilmeden gmail verilerini sifonlayabilir
Rashmi Ramesh (Rashmiramesh_) •
23 Eylül 2025
Openai, Chatgpt’in derin araştırma acentesinde, bilgisayar korsanlarının kullanıcının bilgisi olmadan Gmail verilerini çıkarmasını sağlayabilecek bir güvenlik açığı düzenledi. Radware güvenlik araştırmacıları, yapay zeka aracını Gmail hesaplarına erişmek için yetkilendiren aboneleri etkiledi.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Derin araştırma, karmaşık çevrimiçi araştırma yapmak ve kullanıcılar adına ayrıntılı soruları cevaplamak ve izin verilirse kendisini birden fazla hesap ve hizmetle entegre etmek için tasarlanmıştır.
Radware araştırmacıları, kendilerine gizli talimatlar içeren bir e -posta göndererek güvenlik açığını buldular. Deep Research e -postaya eriştiğinde, tam adlar ve adresler gibi kişisel bilgileri aramak için gömülü yönergeleri izledi ve daha sonra bu verileri araştırmacılar tarafından kontrol edilen bir web adresine iletti. İşlem, kullanıcıdan hiçbir tıklama gerektirmedi, yani hassas veriler fark edilmeden ayrılmış olabilir.
Radware’in Tehdit Araştırma Direktörü Pascal Geenens, “Kurumsal bir hesaptan ödün verilirse, şirketin bilginin ayrıldığını bile bilmeyeceği” dedi.
Güvenlik açığı, Shadowleak olarak adlandırılan ilk servis tarafı sızdıran, sıfır-tıkaç dolaylı istemi enjeksiyonudur, yani verilerin istemci cihazdan ziyade doğrudan Openai altyapısından kaynaklandığı anlamına gelir. Daha önce açıklanmış güvenlik açıkları, sohbet aracısının istemci kullanıcı arayüzünde kullanılan görüntü oluşturma kullanıldı.
Bilgi Güvenlik Medya Grubuna, “Etkilenen kuruluşun sınırından sızan bir web çağrısı veya veri sızdıran bir iz yok. Görünürlük veya izlenebilirlik yok. Kuruluşlar kördür ve sızıntıyı tespit edemez.” Geenens, veriler ortaya çıktıktan sonra kuruluşların, tehlikeye atılan verilerin boyutunu ve kapsamını tahmin etmek için kullanabilecekleri hiçbir günlükleri olmadığını söyledi.
İstismar, saldırganların bir AI ajanını yetkisiz eylemler gerçekleştirmeye yönlendiren talimatları yerleştirdikleri hızlı enjeksiyon tekniğine dayanıyordu. ShadowLeak, kullanıcının cihazından ziyade AI aracının kendisini hedeflediği için alışılmadık bir durumdur. Bu, verilerin belirgin izler bırakmadan doğrudan Openai’nin sunucularından yayılmasını sağlayarak algılamayı zorlaştırdı.
Araştırmacılar, hızlı enjeksiyonların çok özerklik AI ajanlarından yararlanmak için tasarlandığını söyledi. Derin araştırmalar ve benzeri araçlar, minimum insan gözetimi ile görevleri yerine getirmek için e -postalara, takvimlere ve bulut hizmetlerine erişebilir. Bu yetenekler zaman tasarrufu olarak pazarlanır, ancak kötü niyetli talimatlar gizli veya görünmez metinlerle biçimlendirilmiş e-postalar gibi zararsız içeriklerle gizlenirse kötüye kullanılabilir.
Radware, ShadowLeak’in gelişimini metodik bir süreç olarak tanımladı. Araştırmacılar, “Bu süreç başarısız girişimlerin, sinir bozucu barikatların ve nihayet bir atılımın rollercoasterıydı.” Dedi. Birçok hızlı enjeksiyondan farklı olarak, Shadowleak tamamen Openai’nin altyapısında yürütüldü ve geleneksel güvenlik önlemlerinin çalıştığı uç noktalardan kaçındı.
Ek bir ücret karşılığında ChatGPT aboneleri için derin araştırmalar mevcuttur ve AI ajanlarını özerk hareket etmek için daha geniş bir eğilimi temsil eder. Gmail’in ötesinde Radware, derin araştırmalarla entegre olan diğer hizmetlerin Microsoft Outlook, GitHub, Google Drive ve Dropbox’ı içerdiğini ve benzer istismarlara duyarlı olabileceğini söyledi. Araştırmacılar, “Aynı teknik, sözleşmeler, toplantı notları veya müşteri kayıtları gibi son derece hassas iş verilerini yaymak için bu ek konektörlere uygulanabilir.” Dedi.
Geenens, “Bir chatgpt aboneliği almak ve çok sayıda hassas veriye erişimi olan yönetilen bir cihazdan çalışan bir web tarayıcısından kullanmak kolaydır.” Dedi. Kurumsal dosya paylaşım seçenekleri sunmayan kuruluşlar, çalışanlarını bulut dosya paylaşım sağlayıcılarının farklı ücretsiz katmanlarını kullandılar ve kuruluş dışında hangi verilerin paylaşıldığını kontrol edemediklerini veya göremediklerini söyledi.
Openai bu ayın başlarında güvenlik açığını ele aldı. Bir sözcünün Bloomberg’e “araştırmacıların bu sistemleri sıklıkla çekişmeli şekillerde test ettiğini ve araştırmalarını iyileştirmemize yardımcı olduğu için memnuniyetle karşıladığını” söyledi.
Radware, kusurun kontrollü testinin dışında kullanıldığına dair kanıt bulamadı.
Geenens, AI asistanlarını değerlendirirken yönetişim ve görünürlükteki kurumsal hususları özetledi. Şirketler, AI’nın hangi verilere erişmesine izin verildiğinin ve hangi bilgilerin potansiyel olarak ortaya çıkabileceğinin farkında olmalıdır. Ayrıca AI’nın hangi dış kaynaklara bağlandığını ve bunlardan hangisinin istismar edilebileceğini bilmelidirler. Her etkileşim – hem istemler hem de yanıtlar – günlüğe kaydedilmeli ve denetime tabi olmalıdır. “Sadece bu kayıtlar yoluyla potansiyel sızıntılar tanımlanabilir ve tehlikeye atılan verilerin kapsamı değerlendirilir” dedi.