Yapay zeka asistanlarının web tarayıcılarını kontrol etme yeteneği kazanmasıyla birlikte yeni bir güvenlik tehdidi ortaya çıktı: Kullanıcıların artık ziyaret ettikleri her web sitesinin, gizlenmiş kötü amaçlı talimatlarla yapay zeka ajanlarını kandırmayacağına güvenmesi gerekiyor. Önde gelen bir yapay zeka sohbet botu sağlayıcısının yaptığı testler, yapay zeka tarayıcı ajanlarının yaklaşık dörtte bir oranında zararlı eylemlere kolayca kandırılabildiğini gösterince uzmanlar bu yeni tehdit hakkında endişelerini dile getirdi.
Salı günü, Anthropic'in Claude for Chrome adlı yeni tarayıcı tabanlı yapay zeka aracının lansmanı duyuruldu. Kullanıcılar adına işlemler gerçekleştirebilen bu eklenti, güvenlik endişeleri nedeniyle şu an için yalnızca Anthropic'in aylık 100 ila 200 dolar arasında değişen Max planına abone olan 1.000 kullanıcıya bir araştırma önizlemesi olarak sunuluyor. Diğer kullanıcılar için ise bekleme listesi mevcut.
Claude for Chrome eklentisi, kullanıcıların Claude yapay zeka modeliyle tarayıcılarında olup biten her şeyin bağlamını koruyan bir kenar çubuğu penceresinde sohbet etmelerini sağlıyor. Kullanıcılar, Claude'a takvimleri yönetme, toplantı planlama, e-posta yanıtları taslağı hazırlama, gider raporlarını işleme ve web sitesi özelliklerini test etme gibi görevleri yerine getirmesi için izin verebiliyor.
Bu tarayıcı eklentisi, Anthropic'in Ekim 2024'te piyasaya sürdüğü ve Claude'un ekran görüntüsü alıp kullanıcının fare imlecini kontrol ederek görevleri yerine getirmesine olanak tanıyan deneysel "Bilgisayar Kullanımı" özelliğinin üzerine inşa edilmiş durumda. Ancak yeni Chrome eklentisi, tarayıcıyla daha doğrudan bir entegrasyon sunuyor.
Daha geniş bir perspektiften bakıldığında, Anthropic'in tarayıcı eklentisi, yapay zeka laboratuvarları arasındaki rekabetin yeni bir aşamasını yansıtıyor gibi görünüyor. Temmuz ayında Perplexity, kullanıcılar için görevleri hafifletmeyi amaçlayan bir yapay zeka ajanına sahip kendi tarayıcısı Comet'i piyasaya sürdü. OpenAI ise yakın zamanda web üzerinde işlemler gerçekleştirmek için kendi yalıtılmış tarayıcısını kullanan bir bot olan ChatGPT Agent'ı yayınladı. Google da son aylarda Gemini'yi Chrome ile entegre etmeye başladı.
Ancak yapay zekayı tarayıcılara entegre etme yarışı, kullanıcıları ciddi risk altına sokabilecek temel bir güvenlik açığını ortaya çıkardı.
Güvenlik Zorlukları ve Güvenlik Önlemleri
Anthropic, Chrome eklentisinin lansmanına hazırlık olarak yaptığı kapsamlı testlerde, tarayıcı kullanan yapay zeka modellerinin, kötü niyetli aktörlerin web sitelerine gizli talimatlar yerleştirerek yapay zeka sistemlerini kullanıcı bilgisi olmadan zararlı eylemler gerçekleştirmeye kandırdığı "komut enjeksiyonu saldırılarına" maruz kalabildiğini ortaya koyduğunu belirtiyor.
Şirketin test ettiği 29 farklı saldırı senaryosunu temsil eden 123 vakada, tarayıcı kullanımı güvenlik önlemleri olmaksızın çalıştırıldığında saldırıların %23,6 başarı oranına ulaştığı tespit edildi.
Örneklerden biri, Claude'a "posta kutusu hijyeni" amacıyla kullanıcı e-postalarını silmesini emreden kötü niyetli bir e-postaydı. Güvenlik önlemleri olmadan Claude, bu talimatları izleyerek onay almaksızın kullanıcının e-postalarını sildi.
Anthropic, bu güvenlik açıklarını gidermek için bir dizi savunma mekanizması uyguladığını söylüyor. Kullanıcılar, site düzeyindeki izinler aracılığıyla Claude'un belirli web sitelerine erişimini onaylayabilir veya reddedebilir. Sistem, Claude'un kişisel verileri yayınlama, satın alma veya paylaşma gibi yüksek riskli eylemler gerçekleştirmeden önce kullanıcı onayı gerektiriyor. Ayrıca şirket, varsayılan olarak Claude'un finansal hizmetler, yetişkinlere yönelik içerikler ve korsan içerikler sunan web sitelerine erişimini engellemiş durumda.
Bu güvenlik önlemleri, otonom modda saldırı başarı oranını %23,6'dan %11,2'ye düşürdü. Dört tarayıcıya özgü saldırı türüne yönelik özel bir testte ise yeni önlemlerin başarı oranını %35,7'den %0'a indirdiği bildirildi.
Yapay zeka güvenlik riskleri üzerine kapsamlı yazılar yazan ve 2022'de "komut enjeksiyonu" terimini ortaya atan bağımsız yapay zeka araştırmacısı Simon Willison, kalan %11,2'lik saldırı oranını "felaket" olarak nitelendirdi. Kendi blogunda "%100 güvenilir koruma olmadan, bu kalıbı serbest bırakmanın iyi bir fikir olduğu bir dünya hayal etmekte zorlanıyorum" diye yazdı.
Willison'ın "kalıp" ile kastettiği, yapay zeka ajanlarının web tarayıcılarına entegre edildiği son eğilimdir. Benzer komut enjeksiyonu güvenlik sorunları üzerine daha önceki bir yazısında, "bir ajanlı tarayıcı eklentisi konseptinin tamamen kusurlu olduğuna ve güvenli bir şekilde oluşturulamayacağına kuvvetle inanıyorum" diye belirtmişti.
Güvenlik riskleri artık teorik değil. Geçen hafta Brave'in güvenlik ekibi, Perplexity'nin Comet tarayıcısının, Reddit gönderilerine gizlenmiş kötü niyetli talimatlar aracılığıyla kullanıcıların Gmail hesaplarına erişmeye ve şifre kurtarma işlemlerini tetiklemeye kandırılabildiğini keşfetti. Kullanıcılar Comet'ten bir Reddit konusunu özetlemesini istediğinde, saldırganlar görünmez komutlar yerleştirerek yapay zekanın başka bir sekmede Gmail'i açmasını, kullanıcının e-posta adresini çıkarmasını ve yetkisiz eylemler gerçekleştirmesini sağlayabiliyordu. Perplexity açığı düzeltmeye çalışsa da Brave, önlemlerinin aşıldığını ve güvenlik deliğinin devam ettiğini doğruladı.
Şimdilik Anthropic, Chrome eklentisini daha geniş çapta kullanıma sunmadan önce gerçek dünya kullanımında ortaya çıkan saldırı kalıplarını belirlemek ve ele almak için yeni araştırma önizlemesini kullanmayı planlıyor. Yapay zeka sağlayıcılarından iyi korumalar gelmediği takdirde, güvenliğin yükü kullanıcıya düşüyor ve bu araçları açık web'de kullanmak büyük bir risk taşıyor. Willison'ın Claude for Chrome hakkındaki yazısında belirttiği gibi, "son kullanıcıların güvenlik riskleri hakkında iyi kararlar vermesini beklemek mantıklı değil."
