'Sıfır Tıklama' açığı, bilgisayar korsanlarının ChatGPT'yi istedikleri gibi kontrol edebilmelerine bile olanak tanıyor - İllüstrasyon fotoğrafı: AFP
İsrailli siber güvenlik firması Zenity, OpenAI'nin ChatGPT servisinde keşfedilen ilk "Sıfır Tıklama" açığını açıkladı.
Bu tür saldırılar kullanıcıların bir bağlantıya tıklama, bir dosyayı açma veya herhangi bir kasıtlı etkileşimde bulunma gibi herhangi bir eylemde bulunmasını gerektirmez, ancak yine de hesaplara erişim sağlayabilir ve hassas verileri sızdırabilir.
Zenity'nin kurucu ortağı ve CTO'su Mikhail Bergori, bir bilgisayar korsanının yalnızca bir kullanıcının e-posta adresine sahip olarak geçmiş ve gelecekteki içerikler de dahil olmak üzere konuşmaların tamamını nasıl kontrol altına alabileceğini, konuşmanın amacını nasıl değiştirebileceğini ve hatta ChatGPT'yi kendi lehine hareket edecek şekilde nasıl manipüle edebileceğini ilk elden gösterdi.
Araştırmacılar sunumlarında, ele geçirilmiş bir ChatGPT'nin, kullanıcılara karşı gizlice faaliyet gösteren "kötü niyetli bir aktöre" dönüştürülebileceğini gösterdi. Bilgisayar korsanları, ChatGPT'nin kullanıcılara virüs bulaşmış yazılım indirmelerini önermesini, yanıltıcı ticari tavsiyelerde bulunmasını veya kullanıcının hesabı bağlıysa Google Drive'da depolanan dosyalara erişmesini sağlayabilir. Tüm bunlar kullanıcının bilgisi olmadan gerçekleşir.
Güvenlik açığı, Zenity'nin OpenAI'yi bilgilendirmesinin ardından tamamen kapatıldı.
Zenity, ChatGPT'ye ek olarak, diğer popüler yapay zeka asistan platformlarına karşı da benzer saldırılar gerçekleştirdi. Araştırmacılar, Microsoft'un Copilot Studio'sunda tüm CRM veritabanlarını sızdırmanın bir yolunu keşfettiler.
Salesforce Einstein'a göre, bilgisayar korsanları tüm müşteri iletişimlerini kendi kontrolleri altındaki e-posta adreslerine yönlendirmek için sahte servis istekleri oluşturabilir.
Google Gemini ve Microsoft 365 Copilot da "düşman aktörlere" dönüştürüldü; kimlik avı saldırıları gerçekleştiriyor ve e-postalar ve takvim etkinlikleri aracılığıyla hassas bilgileri sızdırıyor.
Başka bir örnekte, Jira MCP ile entegre edilen Cursor yazılım geliştirme aracı da sahte "biletlerle" geliştirici kimlik bilgilerini çalmak için kullanıldı.
Zenity, OpenAI ve Microsoft gibi bazı şirketlerin uyarı aldıktan sonra hızla yamalar yayınladığını belirtti. Ancak bazıları, davranışın bir güvenlik açığından ziyade bir "tasarım özelliği" olduğunu savunarak sorunu ele almayı reddetti.
Mikhail Bergori'ye göre, şu anki en büyük zorluk, yapay zekâ asistanlarının yalnızca basit görevleri yerine getirmekle kalmayıp, kullanıcıları temsil eden "dijital varlıklar" haline gelmeleri; klasörleri açabilmeleri, dosya gönderebilmeleri ve e-postalara erişebilmeleri. Bergori, bunun bilgisayar korsanları için bir "cennet" gibi olduğunu ve çok sayıda istismar noktası olduğunu söyledi.
Zenity'nin kurucu ortağı ve CEO'su Ben Kaliger, şirketin araştırmalarının mevcut güvenlik yöntemlerinin artık yapay zeka asistanlarının çalışma biçimine uygun olmadığını gösterdiğini vurguladı. Kaliger, kuruluşları yaklaşımlarını değiştirmeye ve bu "aracıların" faaliyetlerini kontrol edip izleyebilmek için özel çözümlere yatırım yapmaya çağırdı.
Zenity, 2021 yılında kuruldu. Şu anda dünya çapında yaklaşık 110 çalışanı bulunuyor ve bunların 70'i Tel Aviv ofisinde çalışıyor. Zenity'nin müşterileri arasında birçok Fortune 100 ve hatta Fortune 5 şirketi yer alıyor.
Kaynak: https://tuoitre.vn/lo-hong-nghiem-trong-tren-chatgpt-va-loat-tro-ly-ai-nguoi-dung-bi-lua-dao-lo-thong-tin-20250811131018876.htm
![[Fotoğraf] Cumhurbaşkanı Luong Cuong, Türk Savunma Bakanı Yaşar Güler'i kabul etti](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/11/7f1882ca40ac40118f3c417c802a80da)
![[Fotoğraf] Genel Sekreter To Lam, Ulusal Meclis Parti Komitesi Daimi Komitesi ile birlikte Politbüro'nun çalışma oturumuna başkanlık ediyor](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/11/e2033912ce7a4251baba705afb4d413c)
Yorum (0)