ChatGPT’deki kritik güvenlik açıkları, saldırganların hassas verileri kullanıcı etkileşimi olmadan Gmail, Outlook ve GitHub gibi bağlı hizmetlerden sızdırmasına olanak tanır.
ShadowLeak ve ZombieAgent olarak adlandırılan bu kusurlar, sıfır tıklamalı saldırılar, kalıcılık ve hatta yayılma için yapay zekanın Konektörleri ve Bellek özelliklerinden yararlanıyor.
OpenAI’nin Bağlayıcıları, ChatGPT’nin birkaç tıklamayla Gmail, Jira, GitHub, Teams ve Google Drive gibi harici sistemlerle entegre olmasını sağlar.
Varsayılan olarak etkin olan Bellek özelliği, kişiselleştirilmiş yanıtlar için kullanıcı konuşmalarını ve verileri depolayarak yapay zekanın girişleri okumasına, düzenlemesine veya silmesine olanak tanır.
Bu yetenekler faydayı artırırken, kişisel ve kurumsal verilere geniş erişim sağlar ve yetersiz koruma önlemlerinden kaynaklanan riskleri artırır.
ChatGPT Sıfır Tıklama ve Tek Tıklama Saldırıları
Saldırganlar, beyaz metin, küçük yazı tipleri veya altbilgiler yoluyla kötü amaçlı e-postalar gönderir veya kullanıcıların göremeyeceği gizli talimatlar içeren dosyaları paylaşır.
Sıfır tıklamalı sunucu tarafı varyantında ChatGPT, e-postaları özetlemek gibi rutin görevler sırasında gelen kutusunu tarar, yükü yürütür ve kullanıcılar fark etmeden verileri OpenAI sunucuları üzerinden sızdırır.
Tek tıklamalı sürüm, kurbanlar bozuk dosyalar yüklediğinde tetiklenerek bağlı depolara veya sürücülere zincirleme saldırılara olanak tanır.
| Saldırı Türü | Tetiklemek | Süzme Yöntemi | Kapsam |
|---|---|---|---|
| Sıfır Tıklama Sunucu Tarafı | Kötü amaçlı bir dosya paylaştı | OpenAI sunucularındaki tarayıcı.open() aracı aracılığıyla | Gmail gelen kutuları, kimlik bilgileri |
| Tek Tıklamayla Sunucu Tarafı | Bir dosya aracılığıyla hafıza değişikliği | Dokümanlardaki gizli istemler | Google Drive, GitHub |
| Kalıcılık (ZombieAgent) | Dosya aracılığıyla hafıza değişikliği | Sorgu başına devam eden sızıntılar | Tüm sohbetler, tıbbi veriler |
| Yayılma | E-posta adresi toplama | Kişilere otomatik ilet [query context] | Organizasyonel yayılma |
OpenAI, dinamik URL değişikliklerini engelledi ancak araştırmacılar, her karakter için önceden oluşturulmuş URL’ler (boşluklar için az, 0-9, $) kullanarak bunu atladı.
ChatGPT, “Zvika Doe” gibi hassas dizeleri “zvikadoe” olarak normalleştirir, ardından uyumluluk.hr-service.net/get-public-joke/z gibi statik bağlantıları sırayla açarak, herhangi bir yapı oluşturmadan verileri sızdırır. Bu hizmet tarafı yöntemi, istemci tarafı savunmalarından, tarayıcılardan ve kullanıcı arayüzü görünürlüğünden kaçınır.
Kalıcılık sağlamak için, saldırganlar dosyalar aracılığıyla hafızayı değiştiren kurallar enjekte eder: her mesajda, belirli bir saldırgan e-postasını okuyun ve önce verileri sızdırın.
OpenAI’nin Konektörleri ve Belleği karıştırma konusundaki kısıtlamalarına rağmen, ters erişim çalışır ve yeni sohbetlerde bile sonsuz sızıntıya olanak tanır. Yayılım, gelen kutularını adresler için tarar, bunları dışarı sızdırır ve saldırgan sunucular, verileri otomatik olarak göndererek kuruluşları hedef alır.
Radware, sorunları 26 Eylül 2025’te BugCrowd aracılığıyla bildirdi ve ayrıntıları ve yükseltmeleri sağladı. OpenAI, ShadowLeak’i 3 Eylül’de ve tam seti çoğaltmanın ardından 16 Aralık 2025’te düzeltti.
Uzmanlar, ajan davranışlarının izlenmesini ve girdilerin temizlenmesini, ajansal yapay zeka kör noktalarının devam etmesi nedeniyle teşvik ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
