Virüslü bir belge ChatGPT aracılığıyla Google Drive'daki verileri sızdırabilir (Fotoğraf: Wired).
Endişe verici nokta ise bu güvenlik açığının kullanıcıdan herhangi bir eylem gerektirmemesi ve yapay zekâ (YZ) modellerinin giderek kişisel verilerle daha fazla bağlantılı hale gelmesi bağlamında siber güvenlik konusunda yeni uyarılar ortaya çıkarıyor.
"Zehirli" belgeler veri sızıntılarına yol açıyor
6 Ağustos'ta Las Vegas'ta (ABD) düzenlenen Black Hat güvenlik konferansında iki uzman Michael Bargury ve Tamir Ishay Sharbat, AgentFlayer adı verilen bir saldırı yöntemini tanıttı.
Bu saldırı, ChatGPT'yi Google Drive, Gmail veya Microsoft Takvim gibi harici hizmetlere bağlayan bir özellik olan Connectors'daki bir güvenlik açığından yararlanıyor.
Güvenlik firması Zenity'nin CTO'su Michael Bargury, "Kullanıcının saldırıya uğraması veya verilerinin sızdırılması için hiçbir şey yapmasına gerek yok. Tamamen sıfır tıklama olduğunu kanıtladık," dedi.
Saldırı, saldırganın kurbanın Google Drive'ına "zehirli" bir belge göndermesiyle başlıyor. Belge, çıplak gözle neredeyse görünmeyen ancak bilgisayar tarafından okunabilen, 1 punto beyaz yazı tipiyle yazılmış yaklaşık 300 kelimelik kötü amaçlı bir komut içeriyor.
Metin, yüzeysel olarak toplantı notları gibi görünse de, gerçekte ChatGPT'nin kurbanın Google Drive hesabından hassas API anahtarlarını bulup çıkarması için talimatlar içeriyor.
Bu gizli komut, içeriği kullanıcının istediği gibi özetlemek yerine, yapay zekanın bulduğu API anahtarlarını bir Markdown bağlantısı aracılığıyla harici bir sunucuya göndermesini sağlar. Veriler bir görüntü olarak çıkarılır ve sunucunun tüm bilgileri yakalamasına olanak tanır.
OpenAI bu sorunu çözdü, ancak riskler devam ediyor
OpenAI, Bargury'nin raporunu aldıktan sonra hızla önlem almaya başladı. Google Workspace Güvenlik Ürün Yönetimi Kıdemli Direktörü Andy Wen, "Hızlı kötü amaçlı yazılım enjeksiyon saldırılarına karşı güçlü savunma sistemleri geliştirmek önemlidir," dedi.
Yama uygulanmış olsa da, olay büyük dil modellerini (LLM) harici sistemlere bağlamanın potansiyel risklerini gözler önüne seriyor. Yapay zeka hayatımıza ve işimize daha derinden entegre oldukça, bilgisayar korsanlarının istismar edebileceği saldırı alanı da genişliyor.
Uzmanlar , dolaylı hızlı enjeksiyonun ciddi bir tehdit haline gelebileceği ve saldırganların akıllı evlerden kurumsal altyapılara kadar birçok akıllı sistemi kontrol altına almasına olanak sağlayabileceği konusunda uyarıyor.
Bargury, "LLM'yi harici veri kaynaklarına bağlamak güçlü bir yöntemdir, ancak yapay zekada sıklıkla görüldüğü gibi, daha fazla güç daha fazla risk anlamına gelir" diyerek sözlerini tamamlıyor.
Kaynak: https://dantri.com.vn/cong-nghe/canh-bao-lo-du-lieu-luu-tru-tren-google-drive-thong-qua-chatgpt-20250807155706949.htm
![[Fotoğraf] Başbakan Pham Minh Chinh, IUU Yönlendirme Komitesi'nin 14. toplantısına başkanlık ediyor](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/a5244e94b6dd49b3b52bbb92201c6986)
![[Fotoğraf] Nhan Dan Gazetesi Genel Yayın Yönetmeni Le Quoc Minh, Pasaxon Gazetesi çalışma heyetini kabul etti](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/da79369d8d2849318c3fe8e792f4ce16)
![[Fotoğraf] Merkez Parti Teşkilatları Parti Delegeleri 1. Kongresi'nin törenle açılışı](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/24/82a89e250d4d43cbb6fcb312f21c5dd4)
Yorum (0)