Gemini Güvenlik Açığı: ASCII Smuggling ile Gizli Komutlar ve Kullanıcı Verileri Riski
Google, güvenliğe önem veren bir itibara sahip olsa da, yapay zeka aracı Gemini’de tespit edilen bir güvenlik açığı kullanıcı verilerini tehlikeye atabilecek nitelikte. Bir güvenlik araştırmacısı tarafından yapılan bir dizi test, Gemini’nin ASCII smuggling olarak bilinen bir siber saldırı türüne karşı savunmasız olduğunu ortaya koydu. Bu saldırı, kötü niyetli komutların metinlerin içine gizlenmesini ve kullanıcı tarafından fark edilmesini engellemeyi amaçlar.
Bir kişi, e-posta veya takvim davetiyesi gibi metinlerin içerisine zararlı komutlar ekleyerek, Gemini’nin içeriği özetlerken bu saklı talimatları da yürürlüğe koymasını sağlayabilir. Böylece kullanıcı, normal görünen bir talimatla karşı karşıya kalırken, asıl yönlendirme zararlı eylemlere yol açabilir. Özetleme talebinde bulunan kullanıcı, görünür mesajla sınırlı kalmayı beklerken, yapay zekâ aracı arka planda saklı komutları da işleyebilir ve sonuç olarak hassas bilgiler ele geçirilebilir ya da kötü amaçlı bir iletide paylaşımlar gerçekleşebilir.
Gemini’nin Google Workspace entegrasyonu ile riskler daha da büyüyor; Gmail ve Takvim gibi hizmetlerle etkileşimde bulunan bir araç olarak, saklı komutların yaygın kullanıma yönlendirebileceği endişesi artıyor. Araştırmacı Viktor Markopoulos bu bulguları Google’a bildirdi ve hatta Gemini’yi kandırarak kullanıcıyı zararlı bir web sitesine yönlendiren bir komutu gizlediği bir gösterim de sunuldu. Ancak Google, bu durumu güvenlik açığı olarak değil, bir sosyal mühendislik taktiği olarak değerlendirdiğini belirtti ve raporu reddetti. Bu yaklaşım, sorumluluğun nihai olarak kullanıcıya ait olduğu mesajını güçlendiriyor.
İlgili değerlendirmeler, Gemini dışındaki popüler araçlarda (ChatGPT, Claude, Copilot) bu tür saldırılara karşı korumaların bulunduğunu gösterirken, Gemini, Grok ve DeepSeek gibi araçların savunmasız olabileceği sonucunu gündeme taşıyor. Güvenlik kaygıları, yapay zeka güvenliği konusunda geniş bir tartışmayı yeniden alevlendiriyor. Bu durumda Google’ın kullanıcı sorumluluğunu vurgulayan tutumu, teknoloji çevrelerinde çeşitli yorumlara yol açıyor. Sizce bu yaklaşım, kullanıcı güvenliği için yeterli adımların atılmasına yol açıyor mu?
