Google, kullanıcı güvenliğini genellikle ciddiye alan ve ürünlerini güvende tutmak için çeşitli önlemler uygulayan bir şirket olarak biliniyor. Ancak şirketin yapay zeka aracı Gemini’de keşfedilen endişe verici bir siber tehdit türüne karşı savunmasız bırakan bir sorunu düzeltme konusunda pek de istekli olmadığı ortaya çıktı. Bu durum, Gemini kullanıcılarının hassas bilgilerinin risk altında olabileceği anlamına geliyor.
Gemini güvenlik açığı kişisel bilgilerinizi deşifre edebilir
Güvenlik araştırmacısı Viktor Markopoulos tarafından yapılan bir test, Gemini’nin “ASCII smuggling” olarak bilinen bir siber saldırı türüne karşı savunmasız olduğunu gösterdi. Bu saldırı türü, kötü amaçlı yapay zeka komutlarının e-posta veya takvim davetiyesi gibi metinlerin içine gizlenmesiyle çalışıyor. Saldırgan, bu komutu çok küçük bir yazı tipiyle veya metinle aynı renkte yazarak kullanıcı tarafından fark edilmesini engelleyebiliyor.
Kullanıcı, Gemini gibi bir yapay zeka aracından bu metni özetlemesini istediğinde, yapay zeka görünmez komutu da okuyup yerine getiriyor. Bu durum oldukça tehlikeli sonuçlar doğurabilir. Örneğin, gizli komut yapay zekaya gelen kutunuzdaki kredi kartı numarası veya şifre gibi hassas bilgileri bulmasını ve bir başkasına göndermesini emredebilir. Gemini’nin artık Google Workspace (Gmail, Takvim vb.) ile entegre olduğu düşünüldüğünde risk daha da büyüyor.
Markopoulos, bu bulgularını Google’a bildirdi ve hatta Gemini’yi kandırarak kullanıcıyı indirimli bir telefon vaadiyle kötü amaçlı bir web sitesine yönlendiren bir komutu gizlediği bir gösterim bile sundu. Ancak Google, sorunu bir güvenlik hatası olarak değil, bir “sosyal mühendislik taktiği” olarak değerlendirdiğini belirterek raporu reddetti. Şirket, bu durumda sorumluluğun nihai olarak kullanıcıya ait olduğunu ima ediyor.
Google’ın bu tepkisi, yakın zamanda Gemini’deki bu güvenlik sorununu düzeltecek bir yama yayınlamayı planlamadığı şeklinde yorumlanıyor. Araştırmaya göre, popüler yapay zeka araçlarından ChatGPT, Claude ve Copilot bu tür saldırılara karşı korumalara sahipken, Gemini, Grok ve DeepSeek savunmasız durumda bulunuyor.
Bu durum, yapay zeka güvenliğiyle ilgili genel endişeleri bir kez daha gündeme getiriyor. Google’ın sorumluluğu kullanıcıya bırakma kararı ise teknoloji çevrelerinde tartışmalara neden oldu. Peki siz Google’ın bu yaklaşımı hakkında ne düşünüyorsunuz? Yapay zeka araçlarını kullanırken güvenlik konusunda endişeleriniz var mı?
