Güvenlik alanında yapılan bir araştırma, kötü niyetli bir Google Takvim davetinin, ChatGPT'yi kandırarak ve Google bağlantıları etkinleştirildiğinde özel e-postaları sızdırmaya ikna edebileceğini ortaya koydu. Yapılan bir sunumda, bir saldırganın davetiye metnine gizlediği talimatlarla, hedef kişinin ChatGPT'yi kullanıp belirli bir eylem gerçekleştirmesini beklemesi yeterli oluyor. Ardından, ChatGPT bu tuzaklı etkinliği okuyarak, talimatları takip edip Gmail'de hassas bilgileri arayabiliyor. Bu saldırı türü için tek gereken, kurbanın e-posta adresinin bilinmesi.
OpenAI'nin geçtiğimiz ağustos ayında ChatGPT'ye eklediği yerel Gmail, Google Takvim ve Google Kişiler bağlayıcıları, başlangıçta Pro kullanıcılara sunuldu ve ardından Plus kullanıcılarına da genişletildi. Bu özellik sayesinde, kullanıcılar oturum açtıktan sonra asistan, izin verilen kaynaklardan otomatik olarak bilgi çekebiliyor. Örneğin, “Bugün takvimimde neler var?” gibi basit bir soruyla, her seferinde kaynak seçimi yapmadan Google hesabınızdaki veriler okunabiliyor.
OpenAI'nin yardım merkezinde belirtildiğine göre, bu Google bağlayıcıları etkinleştirildikten sonra otomatik olarak çalışıyor. Kullanıcılar, daha manuel bir kaynak seçimi tercih ederlerse bu ayarı ChatGPT ayarlarından kapatabiliyorlar. Aynı sayfada, Model Bağlam Protokolü (MCP) kullanılarak oluşturulan özel bağlayıcıların geliştiricilere yönelik olduğu ve OpenAI tarafından tanınmadığı da açıklanıyor. Bu nokta oldukça önemli, zira yapılan saldırı bu tür bağlayıcıların desteği ve hızla büyüyen araç ekosistemleri bağlamında ele alınıyor.
Teknik olarak yaşananlar, dolaylı komut enjeksiyonu olarak adlandırılıyor. Saldırganın talimatları, asistanın okumasına izin verilen verinin, yani bir takvim etkinliğinin metninin içine gizleniyor. Ağustos ayında yapılan bir başka araştırmada, ele geçirilmiş bir davetiyenin Google Gemini'yi akıllı ev cihazlarını kontrol etmeye ve bilgi sızdırmaya nasıl yönlendirebileceği gösterilmişti. Bu çalışmanın detayları güvenlik raporlarında ve “Invitation Is All You Need” başlıklı bir makalede belgelendi. Platformdan platforma teknik detaylar değişse de, bir asistanın ele geçirilmiş takvim içeriğini okumasına izin verildiğinde temel risk aynı kalıyor.
Sonuç olarak, bu durumun yaşanabilmesi için öncelikle ChatGPT içinde Gmail ve Takvim'in birbirine bağlanması gerekiyor. Ayrıca, asistanın davranışları, OpenAI'nin üçüncü taraf içeriklerini işlerken uyguladığı politikalar ve komutlara bağlı olarak değişiyor. Kaynakların bağlantısı kesilebileceği veya otomatik kullanımın devre dışı bırakılabileceği de belgelerde belirtiliyor, bu da ele geçirilmiş bir etkinliğin rutin sohbetleri etkileme olasılığını sınırlıyor.
Endişe duyanlar için en etkili çözüm Google tarafında bulunuyor. Google Takvim'in “Davetiyeleri otomatik ekle” ayarını, yalnızca bilinen göndericilerden gelen veya kabul ettiğiniz davetiyelerin takviminizde görünmesini sağlayacak şekilde değiştirebilir ve reddettiğiniz etkinlikleri gizlemeyi düşünebilirsiniz. Google'ın destek sayfaları bu seçenekleri detaylı olarak açıklıyor ve Google Workspace yöneticileri, şirket genelinde daha güvenli varsayılanlar belirleyebiliyor.
Bu durumdan çıkarılacak genel ders, ChatGPT veya Gmail'in “hacklendiği” değil, araç kullanan yapay zekanın, okumasına izin verdiğiniz verilerdeki kötü niyetli talimatlara karşı oldukça savunmasız olduğudur. Bu asistanları bir dereceye kadar kullanışlı kılan bağlayıcılar, aynı zamanda saldırı yüzeyini takvimlere ve gelen kutularına kadar genişletiyor. Sektör, dolaylı komut enjeksiyonuna karşı daha güçlü ve varsayılan olarak açık savunmalar sunana kadar, en güvenli yol, hangi hesapları bağladığınız konusunda muhafazakar olmak ve bu özel senaryoda takviminizi kilitleyerek yabancıların sürprizler yerleştirmesini engellemektir.
