Açık Microsoft Edge bugün ve köşede küçük bir Copilot simgesi bekliyor. Tıkladığınızda tarayıcı bir sayfayı özetleyebilir, bir paragrafı çevirebilir veya bir taslak taslağı hazırlayabilir. e-posta.
Google Gemini ile Chrome’a benzer özellikler eklerken, daha az bilinen Arc ve Dia, kullanıcılar için okuyabilen, akıl yürütebilen ve hareket edebilen modeller geliştiriyor. Bu, tarayıcı için Agentic tarafından desteklenen yeni bir bölümü işaret ediyor yapay zeka.
Kocho’da Güvenlik Mühendisliği Müdürü.
Bu araçlar, tarayıcı akıllı bir asistana dönüşüyor. Ancak biz asistanın geri getirdiği düzgün paragrafı okurken, görünmeyen başka bir şeyler oluyor olabilir. Gizli metin, bir resim etiketi veya bir reklam, yapay zekanın takip ettiği talimatları, sessizce kimlik bilgileri göndermeyi veya kötü amaçlı dosyaları indirmeyi içerebilir.
Kontrol öncesi kolaylık
Kullanıcı dostu teknolojideki birçok ilerlemede olduğu gibi kolaylık kontrolden önce gelir. Günlük rutinlerimizi bu kadar kolaylaştıran tarayıcı aynı kolaylıkla bize karşı da çalışıyor olabilir.
Aracı tarayıcıların nasıl ana akım haline geldiğini düşünmeye değer. Bunlar, aşağıdaki özelliklerle zenginleştirilmiş tarayıcılardır: geniş dil modeli Web içeriğini yorumlayabilen ve üzerinde işlem yapabilen asistanlar. Gelişmiş özetleme ve çeviri, gelişmiş araştırma ve otomasyon doğrudan tarayıcının içindeki iş akışlarının
Microsoft Edge Copilot zaten tanıdık geliyor. Copilot Vision özelliği kullanıcının ekranına bakar ve içeriğini tarayıp analiz ederek öneriler sunar.
Google, Gemini’yi Chrome’a entegre ederken ARC, web’i tarayan, birden fazla sayfayı okuyan ve “mükemmel sekmeyi oluşturan” Benim İçin Gözat özelliğini tanıttı. Bu, şirketin henüz başlangıç aşamasında olduğunu söylediği ARC Search’ün bir özelliği.
Bu yılın başlarında Brave, halüsinasyonları azalttığını söylediği ‘AI Grounding’ özelliğine sahip Brave Search API’sini duyurdu.
Bu araçlar ana akım haline geldikçe yeni özellikler de hızla ortaya çıkıyor. Sekme araması ve masaüstü görseli ekleyen Microsoft Edge’in Ekim 2025 beta güncellemesi, yeni örneklerden yalnızca biri.
Yapay zeka destekli tarayıcılar kuruluşları neden açığa çıkarabilir?
Yapay zeka destekli tarayıcılardaki pek çok özellik, daha fazla verimlilik, daha az çalışan sayısı ve daha hızlı araştırma yetenekleri vizyonuna sahip üst düzey yöneticiler için caziptir.
Sorun şu ki, ajansal yapay zeka tarayıcılarını uygulamaya yönelik bir acele olacak. güvenlik benimsenmenin güvenliği aştığı IoT, bulut ve geçmiş teknoloji döngülerinden tanıdık bir modelin tekrarlanması gibi endişeler daha sonraya bırakıldı.
Bu yaklaşım kuruluşları açıkta bırakır. Aracılı modeller, tarayıcılara yüksek düzeyde bir aracılık sağlar; kullanıcı adına karar verme ve eylemde bulunma yeteneği.
Bu tarayıcıların e-posta üzerinden alanlar arası erişimi vardır. bulut depolamaSaaS uygulamaları ve yerel dosyalar. Her yeni yetenek, kötüye kullanım potansiyelini beraberinde getirir.
Saldırganlar ajan tarayıcıları nasıl kullanabilir?
Bunun nasıl gerçekleşmesi muhtemeldir? Örneğin bir kullanıcının tamamen normal bir siteyi ziyaret etmesiyle başlayabilir. web sitesi. Sayfada reklamlar veya üçüncü taraf içeriği bulunabilir. Kullanıcı, makaleyi özetlemek veya sayfada ne olduğunu açıklamak için tarayıcının yerleşik yapay zeka yardımcısını etkinleştirir.
Bu etkileşim, mevcut tüm içeriği okumak ve yorumlamak için tarayıcının arkasında bulunan büyük dil modelini tetikler.
Kullanıcının bilmediği şey, bir saldırganın sayfaya görünmez metin veya meta veriler yerleştirdiğidir. Bu, beyaz üzerine beyaz metin, gizli HTML başlıkları, çerezler, reklam kodu veya bir görsele yerleştirilmiş kod olabilir. İnsan gözüyle görülemeyen bu, yapay zeka modeli söz konusu olduğunda yalnızca daha fazla veridir.
Bu gizli metin veya kod, modele kullanıcının e-postasında oturum açma, bir e-posta oluşturma ve oturum belirtecini veya parolasını belirli bir adrese gönderme talimatını verebilir.
İz bırakmadan kimlik bilgisi ve veri hırsızlığı
Bu talimatlara göre hareket eden model, saldırgan adına kimlik bilgileri hırsızlığı, veri hırsızlığı veya dosya yürütme işlemlerini gerçekleştirecektir.
Bir kullanıcının yönetici hakları varsa, enjekte edilen komut örneğin bir dosyayı indirerek, yeniden adlandırarak ve ardından çalıştırarak daha da ileri gidebilir. Bu anında çeker uç nokta bir botnet’e girer veya uzaktan kumandaya açar.
Bu önemli bir tehdittir çünkü herhangi bir açık risk göstergesi oluşturmaz; PowerShell, kötü amaçlı yazılım ikilisi veya yararlanma zinciri yoktur.
Uç nokta algılama ve yanıt teknolojisi (EDR) veya antivirüs, her şeyi meşru görecektir ve hatta web sitesi sahibi bile, reklam ağları üzerinden kötü amaçlı kod sunulduğundan habersiz olabilir.
Karmaşık bir kod veya eşleştirilecek bir imza bulunmadığından, reklam platformları da genellikle aynı derecede bilgisizdir. Bu tür bir saldırı endişe vericidir ve varsayımsal olmaktan uzaktır. Örneğin Brave Software, Perplexity AI ve Fellou’da benzer hızlı enjeksiyon güvenlik açıkları bulduğunu iddia ediyor.
Davranış analizi ipuçlarını yakalıyor
Bu tehditlerde tespit konusunda büyük bir boşluk var gibi görünse de iyi haber şu ki davranışsal bir fark var araları açılmak ilişkilendirildiğinde uzlaşma ortaya çıkar.
Bu belirtiler arasında kullanıcıların daha önce hiç göndermedikleri mesajları göndermesi, büyük veya etiketsiz dosyaların yüklenmesi, yeni posta kutusu kurallarının ortaya çıkması ve giden e-postalarda düz metin şifrelerin görünmesi yer alıyor.
Davranış analizi çözümleri bu göstergeleri birkaç dakika içinde tespit edecektir. Kavram kanıtları laboratuvar koşullarında çoğaltılabilir. Ancak pek çok güvenlik operasyon merkezi (SOC) hâlâ arayı kapatmaya çalışıyor.
Potansiyel ciddiyetleri nedeniyle bu tehditlerin üstesinden hızla gelmeleri gerekiyor. Yapay zeka asistanları aynı anda birden fazla kimlik ve sistem üzerinde kötü niyetli eylemlerde bulunabilir ve ekiplerin yapay zeka tarafından başlatılan bir eylemden kimin sorumlu olduğunu bulmaları zordur.
Çalışanların işlerinde denetlenmemiş yapay zeka eklentilerini ve kişisel yardımcı pilotları kullanma tehlikesi sürekli olarak mevcuttur. Geliştiriciler çalışmalarında aracı CLI’leri de kullanabilir, bu da güvenliği ihlal edilmiş paketlerin içe aktarılması riskini artırabilir.
Daha küçük kuruluşlar için yönetilen SOC desteği
Daha küçük kuruluşların bu tehditlere karşı koymak için yönetilen SOC desteğine neredeyse kesinlikle ihtiyacı olacaktır. Algılama ve yönetişimin imza tabanlı algılamadan davranış tabanlı algılamaya geçmesi gerekir.
Ekiplerin sızıntıyı önleyecek araçlara ihtiyacı var ve anormallikleri ilişkilendirebilmeleri gerekiyor. Muhafazayı otomatikleştirmek için planlama gereklidir. Buradaki insan unsuru göz önüne alındığında, kuruluşların bir yapay zeka kullanım politikası oluşturması ve onaylanmış tarayıcıları ve uzantıları tanımlaması önemlidir.
Geliştiriciler, isteseler de istemeseler de, imzalı paketleri ve özel kayıtları zorunlu kılmak için denetim altında olmalıdır.
Artık ajan tarayıcılar çağındayız ve bunlar çok değerli araçlar olacak, ancak ortaya çıkan bu tehditler göz önüne alındığında, benimsemenin disipline edilmesi ve buna güvenlik duruşunda önemli bir değişikliğin eşlik etmesi gerekiyor.
Güvenliği en üst düzeye çıkarmak için kontrol, gelişmiş izleme ve davranışsal içgörü gereklidir. üretkenlik ve yaratıcılık.
En iyi çevrimiçi siber güvenlik kursunu sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro