Yapay zekâ destekli internet tarayıcıları artık sadece arama yapan basit araçlar değil. Kullanıcı adına web sitelerinde gezinebiliyor, formları doldurabiliyor, araştırma yapabiliyor ve bazı görevleri neredeyse kendi başına tamamlayabiliyorlar. OpenAI, Perplexity ve Anthropic gibi şirketlerin geliştirdiği bu araçlar, internet kullanımını kolaylaştırma vaadiyle öne çıkıyor.
Ancak işin bir de pek konuşulmayan tarafı var. Bu sistemlere ne kadar fazla yetki verilirse, kötü niyetli kişilerin elindeki risk de o kadar büyüyor. Siber güvenlik şirketi LayerX tarafından paylaşılan yeni araştırma da tam olarak buna işaret ediyor. Araştırmaya göre yapay zekâ tarayıcıları, doğru şekilde hazırlanmış komutlarla kandırılabiliyor ve hatta kullanıcısına karşı çalışmaya ikna edilebiliyor.
“BİOSHOCKİNG” ADI VERİLEN YÖNTEM NASIL ÇALIŞIYOR?
Araştırmacılar bu saldırı tekniğine “BioShocking” adını verdi. İsim, BioShock oyun serisinden geliyor. Oyunda belirli bir tetikleyici ifadeyle karakterin kendi iradesi dışında hareket etmesi fikri, araştırmacılara ilham olmuş görünüyor.
Testlerde OpenAI’ın ChatGPT Atlas tarayıcısı, Perplexity’nin Comet tarayıcısı ve Anthropic’in Google Chrome eklentisi üzerinden çalışan Claude aracı hedef alındı. Araştırmacılar, bu sistemlerin özel olarak hazırlanmış zararlı istemlerle güvenlik kurallarını ihlal etmeye yönlendirilebildiğini gösterdi.
Burada dikkat çeken nokta şu: Saldırı, doğrudan güvenlik duvarını aşmaya çalışmıyor. Daha sinsi bir yol izliyor. Yapay zekâya içinde bulunduğu ortamın gerçek olmadığı, aslında bir oyun oynadığı fikri veriliyor. Yani modelin gerçeklik algısı biraz oynanıyor, doğrusu bu işin en ürkütücü tarafı da burada başlıyor.
YAPAY ZEKÂYA “BU SADECE BİR OYUN” DENİYOR
Normal şartlarda bir yapay zekâ modeli, bulunduğu ortamı gerçek kabul eder ve güvenlik kurallarına göre hareket etmeye çalışır. Fakat araştırmacılar, modeli BioShock temalı bir bulmacanın içinde olduğuna ikna ettiklerinde tablo değişti.
Hazırlanan örnek senaryoda yapay zekâdan doğru cevap vermesi değil, bilerek yanlış cevaplar üretmesi istendi. Mesela “2 + 2 = 5” gibi açıkça hatalı ifadeler ödüllendirildi. Bir süre sonra model, doğru ile yanlış arasındaki ayrımı tersine çevirmesi gereken bir oyunun içinde olduğunu varsaymaya başladı.
İşte bu noktadan sonra, normalde reddetmesi gereken komutlara karşı daha açık hâle geldi. Araştırmacılara göre bu durum, yapay zekânın kendi güvenlik sınırlarını uygulamaması gerektiğine inanmasına yol açabiliyor.
KLASİK PROMPT İNJECTİON SALDIRILARINDAN DAHA TEHLİKELİ OLABİLİR
BioShocking, son dönemde sıkça gündeme gelen “prompt injection” saldırılarının farklı bir türü olarak değerlendiriliyor. Ancak burada amaç sadece modele gizli bir komut vermek değil. Daha ileri bir manipülasyon söz konusu.
Saldırgan, yapay zekânın içinde bulunduğu bağlamı baştan aşağı değiştirmeye çalışıyor. Model, artık gerçek bir tarayıcı oturumunda değil de kuralları farklı olan sahte bir senaryoda hareket ettiğini sanıyor. LayerX araştırmacıları da bu nedenle yöntemin klasik istem enjeksiyonlarından daha tehlikeli olabileceğine dikkat çekiyor.
Araştırmaya göre saldırganlar bu yöntemle yapay zekâ tarayıcılarını kullanıcının şifresini değiştirmeye, zararlı yazılım indirmeye ya da hassas bilgileri dışarı aktarmaya yönlendirebilir.
Üstelik işin daha da sorunlu tarafı, bütün bu işlemlerin kullanıcının kendi tarayıcısı üzerinden yapılması. Sistem açısından bakıldığında yapılan işlem, dışarıdan gelen şüpheli bir saldırı gibi değil, meşru kullanıcının hareketi gibi görünebilir. Yani güvenlik kontrolleri açısından bu saldırıyı ayırt etmek hiç kolay olmayabilir.