Güvenlik araştırmacıları, ChatGPT’yi bir suç ortağı olarak kullanarak Gmail kutularından hassas verileri çaldı. Bu saldırı, Radware adlı güvenlik firması tarafından bu hafta açıklanan Shadow Leak olarak adlandırıldı. Araştırmacılar, yapay zeka ajanlarının işleyişindeki bir açığı sömürerek, kullanıcıların fark etmeden veri hırsızlığı gerçekleştirdi.
Shadow Leak saldırısı, prompt enjeksiyonu adı verilen bir yöntemle çalıştı. Bu yöntem, yapay zeka ajanını saldırganın emrine sokmak için gizli talimatlar enjekte ediyor. OpenAI’nin ChatGPT’sine entegre Deep Research aracı, bu saldırının hedefiydi. Deep Research, kullanıcının adına web’de gezinme ve bağlantılara tıklama yeteneğine sahip bir araç olarak bu yıl tanıtıldı.
Araştırmacılar, Deep Research’in erişebildiği bir Gmail kutusuna gizli bir prompt yerleştirdi. E-posta, kullanıcıya görünmez şekilde beyaz zemin üzerinde beyaz metin olarak saklandı. Kullanıcı bir sonraki Deep Research kullanımında tuzağı tetikledi. Ajan, gizli talimatları takip ederek İK e-postalarını ve kişisel detayları aradı, ardından bunları saldırganlara gönderdi. Mağdur, veri hırsızlığından tamamen habersiz kaldı.
Radware araştırmacıları, bu süreci “başarısız denemelerin, sinir bozucu engellerin ve nihayetinde bir atılımın oluşturduğu bir rollercoaster” olarak tanımladı. Çoğu prompt enjeksiyonundan farklı olarak, Shadow Leak OpenAI’nin bulut altyapısında çalıştı. Bu sayede veri sızıntısı, standart siber savunma araçlarından gizlendi. Saldırı, yapay zeka ajanlarının yetkilerini kötüye kullanma risklerini ortaya koydu.
Rapora göre, Deep Research’e bağlı diğer uygulamalar da benzer riskler taşıyor. Outlook, GitHub, Google Drive ve Dropbox gibi servisler, aynı teknikle hedef alınabilir. Radware, bu yöntemin sözleşmeler, toplantı notları veya müşteri kayıtları gibi yüksek hassasiyetli iş verilerini çalabileceğini uyarıyor. Araştırmacılar, bu tür saldırıların önceden bilgi olmadan engellenmesinin zor olduğunu vurguladı.
Hacker’lar, prompt enjeksiyonunu zaten çeşitli alanlarda kullandı. Akademik hakem incelemelerini manipüle etmek, dolandırıcılık yürütmek veya akıllı evleri kontrol etmek gibi yaratıcı yollar denendi. Yapay zeka şirketleri, ajanları zaman tasarrufu aracı olarak övse de, e-posta, takvim ve iş belgelerine erişim yetkisi riskleri artırıyor.
OpenAI, Radware’in Haziran ayında bildirdiği açığı kapattığını doğruladı. Bu olay, ajanik yapay zekanın getirdiği yeni güvenlik tehditlerine dikkat çekiyor. Şirketler ve kullanıcılar, veri erişim izinlerini gözden geçirmeli. Radware’in proof-of-concept çalışması, gelecekteki saldırılara karşı farkındalık yaratmayı amaçlıyor.
