Yapay zeka ajanları, yönlendiricilere yönelik saldırılara karşı kırılganlık gösterdi.

Kritik bir güvenlik açığı AI‑araçları zincirinde: yönlendiriciler

Yönlendiriciler (API aracısı), yerel ajan uygulamalarını bulut AI modelleriyle bağlayan, çok az bilinen ama son derece tehlikeli bir saldırı noktasını temsil eder. Kaliforniya Üniversitesi Santa Barbara'dan araştırmacılar, bu açığın ne kadar kolay kullanılabileceğini gösterdi.

AI yönlendiricisi nedir?
* Rol – istemci uygulaması ile model sağlayıcısı (OpenAI, Anthropic, Google) arasında bir vekil.
* Erişim – üzerinden geçen her JSON paketine tam erişim.
* Güvenlik – çoğu büyük sağlayıcı veri bütünlüğü için kriptografik koruma kullanmaz; bu nedenle yönlendirici talepleri fark edilmeden değiştirebilir.

Araştırmacılar tehdidi nasıl test etti
Adım Ne yaptılar Sonuç 1 28 ticari yönlendiriciyi (Taobao, Xianyu, Shopify) elde ettiler ve topluluklardan gelen 400 ücretsizini analiz ettiler. Birçok potansiyel tehlikeli nokta gördüler. 2 Yükleyici URL'sini veya paket adını kontrol edilen kaynağa değiştirerek payload yerleştirdiler. Değiştirilmiş JSON tüm otomatik kontrollerden geçti; tek bir değiştirilmiş `curl` komutu istemcide rastgele kod çalıştırdı. 3 OpenAI API anahtarını çaldılar ve saldırganların bunu GPT‑5 için 100 milyon token üretmekte kullandığını gözlemlediler. 4 Codex oturumlarında kimlik bilgileri açığa çıktı. 5 Özel olarak açık yönlendiricileri 20 IP adresinde dağıttı ve etkinliğini izledi. 40 000 yetkisiz erişim girişimi, ~2 milyar ödenmiş token, 440 Codex oturumunda 99 kimlik bilgisi seti (398 proje). 401/440 oturumda YOLO otomatik modu etkinleştirildi; bu, ajanın onay almadan herhangi bir komut çalıştırmasına izin verir.

Neden bu kadar tehlikelidir
* Saldırı basitliği – sertifika taklidi gerekmez; istemci API uç noktasını belirler.
* Bütünlük kontrolü eksikliği – kötü niyetli yönlendirici ajanın gerçekleştireceği komutu değiştirebilir.
* Güvensiz hizmetler – “iyi niyetli” aracılar bile saldırı vektörü olabilir.

Sağlayıcı katılımı olmadan nasıl korunur
1. Model yanıtlarını imzalamak – ideal bir çözüm, ancak büyük sağlayıcılar henüz sunmuyor (posta için DKIM benzeri).
2. Çok katmanlı istemci tarafı koruması – her yönlendiriciyi potansiyel düşman olarak düşünün:
* JSON yapısı ve içeriğini doğrulayın.
* URL, HTTP yöntemleri ve payload sınırlamaları koyun.
* Şüpheli etkinlik için loglama ve izleme.
3. API anahtarlarına erişimi sınırlandırın – anahtarları güvenli depolarda saklayın, döndürme uygulayın ve minimum ayrıcalık verin.

Sonuç
AI modelinden gelen komutun kaynağını doğrulamak, sağlayıcı tarafından imzalı yanıtlar olmadan mümkün değildir. Böyle mekanizmalar ortaya çıkana kadar kullanıcılar, istemci tarafında kendilerini korumalı, tüm ara hizmetleri dikkatlice incelemeli ve katı güvenlik politikaları uygulamalıdır.