Radywar, Çarşamba günü OpenAI’nin ChatGPT Deep Research ajanında “ZombieAgent” adlı sıfır tıklama zafiyetini duyurdu. Bu kusur, kullanıcı etkileşimi olmaksızın hassas verilerin çalınmasına ve AI ajanlarının ele geçirilmesine yol açtı.
Zafiyet tamamen OpenAI bulut altyapısında işledi, kurumsal güvenlik kontrollerini, güvenlik duvarlarını, uç nokta algılama sistemlerini ve güvenli web ağ geçitlerini aştı. Saldırganlar, ajan tarafından işlenen sıradan e-postalara veya belgelere kötü niyetli talimatlar gömdü. Etkinleştirilen ajan, posta kutusu verilerini sessizce topladı, hassas dosyalara erişti ve harici sunucularla iletişim kurdu.
Siber güvenlik firması Radware, zafiyeti 26 Eylül 2025’te OpenAI’ye bildirdi, şirket ise 16 Aralık 2025’te yamayı uyguladı. ZombieAgent’i diğer istismarlarından ayıran özellik, ajanın uzun vadeli hafızasına doğrudan kötü niyetli kurallar yerleştirmesi ve hedefi yeniden etkilemeden kalıcı kontrol sağlaması oldu. Ajan her kullanıldığında gizli eylemleri çalıştırdı, zaman içinde bilgi topladı ve ek bağlantılara veya e-posta alıcılarına saldırıyı özerk olarak yaydı, kurumlarda solucan benzeri bir kampanya oluşturdu.
Saldırı, Radware’in daha önce açıkladığı “ShadowLeak” zafiyeti üzerine kuruldu. OpenAI, güvenlik araştırmacılarının Gmail ve diğer bağlı hizmetlerden kişisel bilgileri dolaylı prompt enjeksiyonuyla sızdırabileceğini göstermesi üzerine Eylül ayında bu kusuru yamadığını duyurmuştu. ZombieAgent, ChatGPT’nin dinamik URL değiştirimini engelleyen Eylül düzeltmesini, farklı karakterlerle biten önceden hazırlanmış URL’ler kullanarak tek tek karakter sızdırma yöntemiyle aştı.
Radware Tehdit İstihbaratı Başkan Yardımcısı Pascal Geenens, “ZombieAgent, günümüz ajanik AI platformlarındaki kritik yapısal bir zayıflığı ortaya koyuyor” diye ifade etti. “Kuruluşlar bu ajanlara karar alma ve hassas sistemlere erişim için güveniyor, ancak ajanların güvenilmeyen içerikleri nasıl yorumladığı veya bulutta hangi eylemleri gerçekleştirdiği konusunda görünürlüğü yok.”
