İstemci olarak adlandırılan yeni bir siber saldırı yöntemi tanımlandı ve kötü amaçlı aktörlerin CHATGPT, Google Gemini ve diğerleri gibi önde gelen üretken AI araçlarına zararlı talimatlar enjekte etmeleri için ortak tarayıcı uzantılarından yararlanmasına izin verdi. Bu eleştirel bulgu, siber güvenlik araştırma şirketi Layerx tarafından yapılan yeni bir tehdit istihbarat raporundan geliyor.
Araştırmacılara göre, her şey AI araçlarının çoğunun web tarayıcılarında nasıl çalıştığı ile başlar. Hızlı giriş alanları, web sayfasının yapısının bir parçasıdır (belge nesne modeli veya DOM olarak bilinir). Bu, DOM’a temel komut dosyası erişimi olan neredeyse tüm tarayıcı uzantısının, özel izinler gerektirmeden bile kullanıcıların AI istemlerine ne yazdığını okuyabileceği veya değiştirebileceği anlamına gelir.
Saldırının nasıl çalıştığı ve kimin risk altında olduğu
Kötü aktörler, çeşitli zararlı faaliyetler yürütmek için tehlikeye atılmış veya açıkça kötü niyetli uzantıları kullanabilirler. Bunlar, bir kullanıcının AI’ya girdisini manipüle etmeyi, gizlice gizli talimatları enjekte etmeyi, AI yanıtlarından veya tüm oturumdan hassas verilerin çıkarılması ve hatta AI modelini gizli bilgileri açığa çıkarmaya veya istenmeyen eylemler gerçekleştirmeye kandırmayı içerir. Esasen, tarayıcı bir kanal haline gelir ve uzantının AI etkileşimleri için “ortada bir adam” olarak hareket etmesini sağlar.
Risk önemlidir, çünkü tarayıcı tabanlı AI araçları genellikle hassas bilgileri işler. Kullanıcılar gizli şirket verilerini bu arayüzlere yapıştırabilir ve tarayıcı uzantıları istemi veya yanıt alanlarına müdahale ederse veya içeriği çıkarırsa, özel veri kümeleri üzerinde eğitilmiş bazı dahili AI uygulamaları ortaya çıkabilir.
Tarayıcı uzantılarının yaygınlığı, birçok kuruluşun ücretsiz kuruluma izin vermesi ile birleştiğinde, tek bir savunmasız uzatma, bir saldırganın değerli kurumsal bilgileri çalmak için sessiz bir yol sağlayabileceği anlamına gelir.
“İstismar, ChatGPT ve Google Gemini için sağlanan kavram kanıtı demoları ile tüm üst düzey ticari LLM’lerde test edilmiştir. Kuruluşlar için ima, AI araçlarına giderek daha fazla bağımlı hale geldikçe, bu LLM’lerin, özellikle gizli şirket bilgileriyle eğitilmiş olanların, ‘hackleme için hassas kurumsal bilgileri çalmak için’ hackleme ‘haline getirilebileceğidir.”
Layerx
Layerx, büyük platformlara karşı kavram kanıtı saldırıları gösterdi. ChatGPT için, minimum bildirilen izinleri olan bir uzantı bir istemi enjekte edebilir, AI’nın yanıtını çıkarabilir ve algılamayı azaltmak için kullanıcının görüşünden sohbet geçmişini kaldırabilir.
Google Gemini için saldırı, Google çalışma alanıyla entegrasyonunu kullandı. İkizler kenar çubuğu kapatıldığında bile, uzlaşma e -postalar, kişiler, dosya içeriği ve paylaşılan klasörler de dahil olmak üzere hassas kullanıcı verilerine erişmek ve bunları dışarı atmak için istemi enjekte edebilir.
Google, bu özel tarayıcı uzantısı güvenlik açığı hakkında bilgilendirildi. Bu istismarın demoya buradan göz atın:
Yeni tehdidi azaltmak
Bu saldırı, bu Dom seviyesi etkileşimlerinde görünürlükten yoksun oldukları için uç nokta veri kaybı önleme (DLP) sistemleri veya güvenli web ağ geçitleri gibi geleneksel güvenlik araçları için kör bir nokta oluşturur. AI araçlarını tek başına URL ile engellemek de dahili AI dağıtımlarını korumaz.
Layerx, kuruluşlara güvenlik stratejilerini tarayıcı içi davranışları denetlemeye yönlendirmelerini tavsiye eder. Temel öneriler arasında, şüpheli aktiviteyi tespit etmek, riskli uzantıları sadece listelenen izinlerden ziyade davranışlarına göre engellemek ve tarayıcı katmanında gerçek zamanlı olarak hızlı bir şekilde kurcalama ve veri söndürmeyi aktif olarak önlemek için AI araçlarındaki DOM etkileşimlerinin izlenmesi yer alır.
Uzman Yorumları
DeepTempo’da AI mühendisi kuran Mayank Kumar, bu yeni saldırı vektörünün hackread.com ile paylaştığı yorumunda daha geniş etkilerini vurguladı. Kuruluşların üretkenlik kazanımları için Chatgpt ve Gemini gibi modelleri geniş ölçüde benimsediğini belirtti. Ancak, bu hızlı benimseme “Genai öncesi dönemde inşa edilen güvenlik altyapısını ciddi şekilde test ediyor” diye uyardı.
Kumar, “istemde adam” gibi saldırıların, özel verilerin, AI araçlarının ve tarayıcı uzantıları gibi üçüncü taraf entegrasyonların etkileşime girdiği arayüzler için kritik güvenliği yeniden düşünme ihtiyacını vurguladığını vurguladı. “İstemler sadece metin değil, arayüzlerdir” dedi. Bu yeni gerçeklik, sadece AI modelini değil, tüm veri yolculuğunu potansiyel olarak savunmasız tarayıcı ortamları aracılığıyla güvence altına almak anlamına gelir.
Kumar, derin katman ağ izlemesi uygulayarak “yüzey seviyesi korumasının ötesine” gitmeyi savunuyor. AI araç etkileşimleri ile ilişkili ağ trafiğinde anormallikler arayarak, kuruluşlar, görünüşte meşru AI istemleri içinde gizlenmiş olsa bile, ağdan ayrılan olağandışı veriler veya beklenmedik iletişim gibi şüpheli faaliyetleri tespit edebilir. Uygulama bilincini sıkı ağ incelemesiyle birleştiren bu katmanlı yaklaşım, bu yeni AI güdümlü siber tehdit dalgasına karşı koymak için hayati önem taşır.