Ajansal Yapay Zeka, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Yapay Zeka Eylemleri Güvenlik Araçlarını Atlar
Rashmi Ramesh (raşmiramesh_) •
10 Ekim 2025
Yeni araştırmalar, yapay zeka destekli tarayıcıların işletmeleri veri hırsızlığına, kötü amaçlı yazılım dağıtımına ve kurumsal uygulamalara yetkisiz erişime maruz bırakabileceğini gösteriyor.
Ayrıca bakınız: Kavram Kanıtı: Yapay Zeka Ajanları Çağı İçin Kimliği Yeniden Düşünmek
Singapur merkezli güvenlik firması SquareX, görevleri otonom olarak tamamlamak için geliştirilen yapay zeka tarayıcılarının, bir talimatın güvenli olup olmadığını doğrulayacak güvenlik farkındalığına sahip olmadığını ve bu tarayıcıların kötü niyetli aktörler tarafından manipülasyona açık hale geldiğini söyledi.
SquareX’in kurucusu Vivek Ramachandran, “Tıpkı herhangi bir AI aracısı gibi, AI tarayıcıları da güvenlik bilincine sahip olmak için değil, görevleri tamamlamak üzere eğitildi” dedi. “Bu, saldırganların Comet gibi tarayıcıları, tamamladıkları iş akışının gerekli bir parçası olduğuna ikna ederek kötü amaçlı görevler gerçekleştirmeleri için kandırmalarını önemsiz hale getiriyor.”
SquareX, Comet’in, kurbanın Gmail’ine ve Google Drive’ına tam erişim sağlayan OAuth tabanlı bir saldırıya maruz kaldığını tespit etti. Meşru bir araştırma görevi olarak algıladığı şeyi tamamlayan tarayıcı, saldırganların diğer kullanıcılar tarafından paylaşılanlar da dahil olmak üzere hesaptaki her dosyaya sızmasına olanak tanıyan jetonlar verdi. Başka bir örnekte ise Comet, kullanıcının gelen kutusunu yönetirken kötü amaçlı bağlantı içeren bir takvim daveti gönderdi. Araştırmacılar ayrıca Comet’in kötü amaçlı yazılım indirdiği ve hassas belgeleri harici adreslere e-postayla gönderdiği vakaları da buldu.
Yapay zeka tarayıcı eylemleri, kullanıcınınkiyle aynı tarayıcı sürecinden kaynaklandığından, uç nokta algılama ve yanıt veya güvenli erişim hizmeti ucu gibi araçlar, insan ve yapay zeka etkinliklerini birbirinden ayıramaz. SquareX, bunun, kullanıcı odaklı eylemleri tarayıcının AI aracısı tarafından gerçekleştirilen eylemlerden ayırabilen “tarayıcıya özgü” savunmalara ihtiyaç yarattığını söyledi.
Microsoft’un Edge ve Google’ın Chrome tarayıcıları yakın zamanda, OpenAI’nin yaptığı gibi üretken yapay zeka yeteneklerini doğrudan tarayıcılara entegre edeceğini duyurdu.
SquareX, kullanıcıları korumanın, “aracı kimliğini” (AI güdümlü eylemleri insanlar tarafından başlatılan eylemlerden ayırma kavramı) hesaba katan yeni güvenlik modellerine ve tarayıcı düzeyinde çalışan yeni veri kaybı önleme mekanizmalarına ihtiyaç duyacağını söyledi.