Prompt Injection (İstem Enjeksiyonu) Saldırısı Nedir? Türleri ve Örnekleri
Prompt injection, saldırganların yapay zekâ sistemlerini yanıltıcı komutlarla yönlendirmeye çalıştığı bir saldırı yöntemidir. Özellikle LLM tabanlı uygulamalarda veri güvenliği ve yetki kontrolleri açısından önemli riskler oluşturur.
Yapay zekâ araçları artık e-posta kutularından günlük iş akışlarına kadar pek çok alanda karşımıza çıkarken, bu araçların kendilerine özgü güvenlik açıkları da yavaş yavaş gündeme gelmeye başladı. Prompt injection, yani istem enjeksiyonu; kötü amaçlı yazılım ya da klasik bir yazılım açığından yararlanmak yerine yalnızca dili kullanarak yapay zekâ sistemlerini istenmeyen davranışlara yönlendirmeye çalışan, görece yeni ama hızla büyüyen bir tehdit olarak öne çıkıyor.
Prompt Injection Saldırısı Nedir?
Prompt injection, bir saldırganın yapay zekâ aracının davranışını dikkatle kurgulanmış metinler aracılığıyla değiştirebildiği bir saldırı tekniğidir. Bu yöntemde ne bir kod açığının sömürülmesine ne de zararlı bir dosya yüklenmesine ihtiyaç duyulur; saldırgan modeli yalnızca dil yoluyla yönlendirmeye çalışır.Terim 2022 yılında Simon Willison tarafından yaygınlaştırıldı. Web uygulamaları ve yapay zekâ sistemleri için güvenlik standartları yayımlayan OWASP ise prompt injection’ı büyük dil modeli tabanlı uygulamalar için en önemli güvenlik riskleri arasında ilk sırada değerlendiriyor.
Aslında bu saldırıyı, makinelere uygulanan bir tür sosyal mühendislik gibi düşünmek yerinde olabilir. Tıpkı oltalama taktiklerinde olduğu gibi, prompt injection da modelin en faydalı özelliğinden, yani kendisine verilen talimatları izleme eğiliminden besleniyor. İyi kurgulanmış tek bir girdi; aracın kurallarını geçersiz kılabilir ya da gizli kalması gereken bilgileri açığa çıkarmasına yol açabilir.
Türkiye’de de yapay zekânın iş dünyasına nüfuzu hızla artıyor; bu da konuyu yalnızca teknoloji devlerini ilgilendiren bir mesele olmaktan çıkarıyor. TÜİK’in ilk kez yayımladığı Yapay Zekâ İstatistikleri 2025 raporuna göre, işletmelerde yapay zekâ kullanım oranı 2021’de yüzde 2,7 iken 2025’te yüzde 7,5’e yükselmiş durumda; 250 ve üzeri çalışana sahip büyük işletmelerde ise bu oran yüzde 24,1’e ulaşıyor. Kullanım yaygınlaştıkça, saldırganların hedefleyebileceği yüzeyin de genişlemesi kaçınılmaz görünüyor.
Prompt Injection Saldırısı Nasıl Çalışır?
Sorunun temelinde, yapay zekâ sistemlerinin geliştirici talimatları ile kullanıcı girdisini birbirinden net biçimde ayıramaması yatıyor. Geliştiriciler, aracın nasıl davranacağını belirleyen gizli yönergeler yazar; sizin girdiğiniz metin ise bu yönergelerle birleştirilerek modele tek bir bütün hâlinde iletilir. Model bu akışın hangi kısmının kural, hangi kısmının kullanıcı isteği olduğunu kolayca ayırt edemediği için, komut gibi görünen bir girdiyi geliştiricinin niyetine aykırı olsa bile uygulayabiliyor.
Burada akılda tutulması gereken önemli bir ayrıntı var: Başarılı bir enjeksiyonun verebileceği zarar, büyük ölçüde o yapay zekâ aracının eriştiği sistemlerle ve sahip olduğu yetkilerle sınırlı kalıyor. Dolayısıyla en az ayrıcalık prensibi, bu tür risklerin etkisini sınırlamada belirleyici bir rol üstleniyor. Berqnet Sıfır Güven (ZTNA) yaklaşımı da tam olarak bu mantık üzerine kuruludur; kullanıcılara ve sistemlere yalnızca ihtiyaç duydukları kaynaklara erişim vererek, olası bir ele geçirme durumunda saldırganın hareket alanını ciddi biçimde daraltmaya yardımcı olabilir.
Prompt Injection Saldırısı Türleri Nelerdir?
Prompt injection saldırıları tek bir biçimde karşımıza çıkmıyor; genellikle üç ana başlık altında değerlendiriliyor:
- Doğrudan (direct) enjeksiyon: Kötü niyetli talimatın doğrudan sohbet penceresine yazıldığı en bilinen türdür. “Önceki tüm talimatları yok say” benzeri tek bir cümle bile zaman zaman yeterli olabiliyor.
- Dolaylı (indirect) enjeksiyon: Zararlı talimatların, yapay zekânın işlediği web sayfaları ya da e-postalar gibi dış içeriklerin içine gizlendiği türdür. Bir sayfayı özetlemesini istediğinizde, model oraya saklanmış komutu da fark etmeden okuyabilir.
- Depolanmış (stored) enjeksiyon: Zararlı talimatların; veri tabanları ya da eğitim verileri gibi yapay zekânın düzenli olarak okuduğu yerlere yerleştirildiği türdür. Bu yöntemin, farklı oturumlardaki birden fazla kullanıcıyı etkileyebilmesi onu özellikle sinsi kılıyor.
Saldırganların bu talimatları gizlemek için başvurduğu yöntemler de oldukça yaratıcı olabiliyor; beyaz zemin üzerine beyaz yazı, çok küçük punto ya da kod bloğu gibi biçimlendirilmiş metinler bunlardan yalnızca birkaçı. İnsan gözüyle son derece sıradan görünen bir belge, arka planda yapay zekâya tamamen farklı bir şey söylüyor olabilir.
Gerçek Hayattan Prompt Injection Örnekleri
Bu saldırı türü teorik bir tartışmadan ibaret değil; son birkaç yılda dikkat çeken pek çok örnek gündeme geldi:
| Olay | Yıl | Ne oldu? |
|---|---|---|
| Bing Chat’in talimatlarının ifşası | 2023 | “Önceki talimatları yok say” yönergesiyle botun gizli kuralları açığa çıkarıldı. |
| Özgeçmişlerde gizli metin | 2024 | Adaylar, tarama araçlarını yanıltmak için özgeçmişlere görünmez talimatlar gömdü. |
| Tarayıcı ajanlarının yönlendirilmesi | 2025 | E-postalara gizlenen talimatlar, ajanları istenmeyen işlemlere yönlendirebildi. |
Özellikle özgeçmiş örneği, sorunun ne kadar yaygınlaşabildiğini gözler önüne seriyor. İstihdam firması ManpowerGroup, yapay zekâ ile taradığı özgeçmişlerin yaklaşık yüzde 10’unda gizli metin tespit ettiğini; işe alım platformu Greenhouse ise yıllık işlediği 300 milyon özgeçmişin yüzde 1’inde benzer gizli istemlere rastladığını bildirdi.
Dolaylı enjeksiyonun en sık beslendiği kaynaklardan biri, içeriğine güvenilmeyen web sayfaları oluyor; yapay zekâ destekli tarayıcı ajanları bu sayfaları okurken gömülü talimatlardan etkilenebiliyor. Bu noktada Secure Web Gateway (SWG) ve web filtreleme çözümleri, çalışanların ve sistemlerin riskli sitelere erişimini kontrol altına alarak maruz kalınan tehdit yüzeyini daraltmaya yardımcı olabilir. Berqnet gibi yerli çözümler ile merkezi yönetim, gelişmiş tehdit önleme ve esnek mimarileriyle bu kontrolü daha etkin ve sürdürülebilir hâle getirir.
Prompt Injection ile Jailbreaking Aynı Şey mi?
Bu iki kavram birbiriyle yakından ilişkili olsa da tam olarak aynı anlama gelmiyor. Jailbreaking; bir yapay zekânın içerik politikalarını ya da güvenlik korumalarını aşmayı hedefleyen, prompt injection’ın daha dar kapsamlı bir biçimi olarak değerlendirilebilir. Prompt injection ise gizli sistem komutlarını ortaya çıkarmaktan aracın habersizce yetkisiz işlemler yapmasına kadar çok daha geniş bir alanı kapsayabilir. Önemli bir fark da etkilenen kişilerde ortaya çıkıyor: Jailbreaking çoğunlukla kullanıcının kendi oturumunda bilerek yaptığı bir eylemken, dolaylı ve depolanmış enjeksiyon türleri içeriğin değiştirildiğinden habersiz masum kullanıcıları da etkileyebiliyor.
Prompt Injection Saldırılarından Nasıl Korunulur?
Şu an için prompt injection’ı tamamen ortadan kaldıran sihirli bir çözüm bulunmuyor; çünkü zafiyet, bu araçları faydalı kılan özelliğin ta kendisinden kaynaklanıyor. Yine de riski azaltmak adına atılabilecek pek çok adım var:
- Sürecin içinde kalın: Yapay zekâ araçlarının tam otomatik modda çalışmasına izin vermek yerine, kritik işlemleri uygulamadan önce gözden geçirmek daha güvenli olabilir.
- Erişimi olabildiğince sınırlayın: Bir aracın gerçekten ihtiyaç duymadığı verilere ve sistemlere erişimini kısıtlamak, olası bir saldırının etkisini önemli ölçüde azaltabilir.
- Dönen içeriği sorgulayın: Beklenmedik bağlantılar, tuhaf öneriler ya da sizi alışılmadık bir eyleme yönlendiren yanıtlar karşısında temkinli davranmakta fayda var.
- Sistemleri güncel tutun: Düzenli güncellemeler, bilinen açıkların kapatılmasına ve savunmaların güçlenmesine yardımcı olabilir.
Bu önlemlerin önemli bir kısmının, aslında klasik ağ güvenliği prensipleriyle örtüştüğünü fark etmek mümkün. Erişimin kimlik ve bağlam temelinde sınırlandırılması, cihaz sağlığının sürekli denetlenmesi ve anormal davranışların erkenden tespit edilmesi; yapay zekâ kaynaklı tehditlerin etkisini sınırlamada da işe yarayabiliyor. Berqnet’in Cihaz Durum Kontrolü (DPC) ve Alarm Merkezi gibi çözümleri, SASE platformu çatısı altında merkezi bir görünürlük ve kontrol sunarak bu yaklaşımı destekleyebilir. Tehditlerin sürekli değiştiri ve geliştiğini unutmamak; bu nedenle güvenlik sistemlerinizin de bu değişime göre aksiyon alabilmesi gerekir.
Kaynakça
Sıkça Sorulan Sorular
En çok okunanlar
