
Yapay Zeka Hafıza Zehirleme Tek E-postayla Mümkün
Hafızası olan bir yapay zeka asistanına gönderilen tek bir e-posta, o asistanın kullanıcı hakkında bildiklerini kalıcı olarak değiştirebiliyor. 6 Temmuz 2026'da arXiv'de yayımlanan bir çalışma, tekniği MemGhost adlı otomatik bir araçla gösterdi ve arka plan testlerinde %87,5 başarı elde etti. Saldırının adı gizli hafıza enjeksiyonu. Bu yazıda saldırının nasıl işlediği, testlerde ne kadar etkili olduğu ve hangi savunmaların işe yaradığı ele alınıyor.
Hafıza Zehirleme Saldırısı Nedir?
Hafıza zehirleme, bir yapay zeka ajanının oturumlar arasında sakladığı bilgiye sahte bir kayıt yerleştirme saldırısıdır. Hedef, modelin kendisi değil, modelin her yeni oturumda okuduğu not defteridir.
Kalıcı kişisel ajanlar, sohbet bitince her şeyi unutan chatbot'lardan bu yönüyle ayrılır. Kullanıcının tercihlerini, kişilerini ve verdiği görevleri dosyalarda tutarlar. Çalışmanın birincil hedefi olan OpenClaw, kalıcı talimatlarını AGENTS.md, kullanıcı hakkında öğrendiklerini ise MEMORY.md gibi düz metin dosyalarında saklıyor. Her oturumun başında bu dosyalar modelin bağlamına yükleniyor.
Asistanın kişiselleşmiş hissettirmesinin sebebi tam olarak budur. Aynı yapı, zararlı içeriğin kök salması için kalıcı bir yer de açar.

MemGhost Tek E-postayla Nasıl Çalışıyor?
Saldırganın parolaya, hesaba veya önceden bir erişime ihtiyacı yoktur. Ajanın gelen kutusunu kontrol etmesi için kurulmuş bir kullanıcıya sıradan görünen bir e-posta gönderilir. Metnin içine, insan alıcıya değil asistana yazılmış bir talimat gizlenir.
E-posta işleme becerisi bu talimatı yutarsa üç şey sırayla gerçekleşir:
Yazma: Ajan, kendi dosya yazma aracını kullanarak sahte notu kalıcı hafızasına kaydeder.
Gizleme: Kullanıcının gördüğü cevapta bu işlemden söz edilmez.
Yönlendirme: Sonraki bir oturumda, o not asistanın söylediklerini veya yaptıklarını değiştirir.
E-posta bu iş için elverişli bir kanaldır. Asenkrondur, hacimlidir ve doğası gereği kişisel bilgi taşır. Adresini bilen herkes, hiçbir izin almadan içeriği ajanın önüne koyabilir.
Araştırmacılar payload'ı elle yazmadı. MemGhost, ajanın bir gölge kopyasına karşı eğitildi ve hafızayı başarıyla zehirlerken görünen cevabı sessiz tutan e-postalar ödüllendirildi. Sonuçta tek atışta çalışan, karşılıklı bir diyalog gerektirmeyen bir üretim hattı ortaya çıktı.

Saldırı Testlerde Ne Kadar Başarılı Oldu?
Rakamlar, saldırının laboratuvar koşullarında istikrarlı çalıştığını gösteriyor.
CybersecAsia'da aktarılan sonuçlara göre 56 yeni test vakasında tam gizli hafıza ele geçirme sağlandı: sahte hatıranın yerleştirilmesi, gizlenmesi ve sonraki davranışın etkilenmesi. GPT-5.4 ile çalışan OpenClaw'da arka plan modunda %87,5 başarı elde edildi. Sonnet 4.6 kullanan Claude Code SDK ajanında oran %71,4 oldu.
Savunma tarafındaki tablo daha rahatsız edici. The Hacker News'te yayımlanan habere göre zehirli e-postaları yakalamak için kurulmuş bir girdi filtresi, MemGhost'un mesajını on denemenin dokuzundan fazlasında kaçırdı. E-postayla gelen talimatları yoksaymak üzere sertleştirilmiş bir model bile yerleştirilen talimatı yaklaşık yarı yarıya uyguladı. Kullanıcı doğrudan neyi kontrol ettiğini ve ne yaptığını sorduğunda dahi, saldırı bir modelde vakaların yaklaşık dörtte birinde gizli kaldı.
Çalışmada 108 vakalık bir kıyaslama seti de kuruldu. Set; sağlık ve güvenlik, finansal zarar, bilgi bütünlüğü ve siber güvenlik gibi sonuç düzeyinde risk kategorilerini kapsıyor. Zehirlenen hafızanın yol açabileceği zarar, yanlış bir film tavsiyesiyle sınırlı değil.

Klasik Prompt Enjeksiyonundan Farkı Ne?
Dolaylı prompt enjeksiyonu yeni bir kavram değil. Zararlı yapay zeka modelleri üzerine yapılan testlerde bu sistemlerin doğrudan ve dolaylı prompt enjeksiyonu saldırılarına yeterince dayanıklı olmadığı zaten ortaya konmuştu.
MemGhost'un eklediği şey kalıcılıktır. Daha önceki örneklerde zehirli talimat elle yerleştiriliyordu ya da veriyi yalnızca sorulduğu anda sızdırıyordu. Burada otomatik bir payload, tek bir e-postayı sahte bir hatıraya dönüştürüyor ve o hatıra mesaj çoktan silindikten sonra bile oturumları yönlendirmeye devam ediyor.
Özellik | Klasik prompt enjeksiyonu | Gizli hafıza enjeksiyonu |
|---|---|---|
Etki süresi | Tek oturum, anlık | Oturumlar boyunca kalıcı |
Payload üretimi | Çoğunlukla elle hazırlanır | Otomatik, tek atışta |
Görünürlük | Cevapta genelde iz bırakır | Görünen cevapta iz bırakmaz |
Tetikleme anı | Talimat okunduğu an | Günler sonraki bir oturumda |
Kullanıcının fark etmesi | Mümkün | Sorulduğunda bile gizli kalabiliyor |
Fark, saldırının hedefinde de görülüyor. Klasik enjeksiyon ajanı o an bir şey yapmaya zorlar. Hafıza enjeksiyonu ise ajanın neye inandığını değiştirir ve zamanlamayı saldırgana bırakır.

Neden Hızlı Bir Yama Beklenmiyor?
Beklenen bir düzeltme yok, çünkü saldırı hiçbir güvenlik sınırını ihlal etmiyor.
OpenClaw'ın güvenlik politikası, prompt enjeksiyonunu tek başına kapsam dışı sayıyor. Bir enjeksiyonun düzeltme konusu olması için yetki, araç politikası, onay veya sandbox sınırlarından birini aşması gerekiyor. MemGhost bunların hiçbirini aşmıyor. Ajanın kendisine verilmiş olan hafıza yazma aracını, tam olarak tasarlandığı gibi kullanıyor.
Sorun burada teknik bir açıktan çok bir tasarım tercihinden doğuyor. Araştırmacıların vurguladığı nokta şu: tehlike, yapay zeka sistemlerinin güvenilmeyen içeriği okuyabilmesi değil. Tehlike, o içeriği görünür bir onay adımı olmadan güvenilir hafıza olarak kaydedebilmeleri.
Bu, yapay zeka güvenliği tartışmalarında sık geçen veri zehirlemesinden farklı bir katman. Veri zehirlemesi eğitim aşamasında olur ve modeli bozar. Hafıza zehirlemesi ise çalışma anında olur, modeli hiç değiştirmez ve yalnızca tek bir kullanıcıyı hedefler.

Kullanıcılar Ve Geliştiriciler Nasıl Korunabilir?
Net çözüm, iki işin birbirinden ayrılmasıdır: güvenilmeyen postayı okumak ve kendi hafızasına yazmak.
OpenClaw'ın kendi güvenlik rehberi, güvenilmeyen e-postanın ayrı bir okuyucu ajandan geçirilmesini öneriyor. Bu okuyucu ajanın hafıza, dosya ve kabuk araçları elinden alınıyor; ana ajana yalnızca bir özet iletiliyor.
Çalışmanın yazarları ise düzeltmenin ajanın içinde yaşaması gerektiğini savunuyor. Önerdikleri üç madde şöyle sıralanabilir:
Kaynak etiketleme: Her bilgi parçasının nereden geldiği kayıtlı tutulur.
Yazma onayı: Hiçbir şey, kullanıcıya sorulmadan kalıcı hafızaya geçmez.
Denetim kaydı: Her hafıza yazımı loglanır ve geriye dönük incelenebilir.
OpenClaw, dış içerik için hafıza yazma denetimlerini değerlendirdiğini belirtti. Kaynak bilgisi, denetim kayıtları ve onay istemleri gündemde.
Kurumsal tarafta rüzgar aynı yöne esiyor. SecurityWeek'te yayımlanan habere göre İngiltere'nin NCSC'si 7 Temmuz 2026'da Cyber Shield adlı ajan tabanlı savunma programını açtı ve akademiden kritik altyapı işletmecilerine kadar geniş bir iş birliği çağrısı yaptı. Avrupa Komisyonu da 7 Temmuz'da gelişmiş yapay zekanın siber güvenlikteki riskleri için bir plan sundu. Planda, yapay zekanın saldırıları otomatikleştirmek ve olayların ölçeğini büyütmek için kötüye kullanılabileceği açıkça yer alıyor.

Topluluk Ne Düşünüyor?
Tartışma, saldırının gerçekliği üzerine değil, deney kurulumunun adil olup olmadığı üzerine yürüyor.
Araştırmayı ciddiye alan taraf, savunma rakamlarına işaret ediyor. Filtrelerin neredeyse tamamen başarısız olması ve sertleştirilmiş modellerin bile talimatı yarı yarıya uygulaması, sorunun yama ile kapanacak cinsten olmadığını gösteriyor. Bir de kaçınılmaz bir ironi var: gizlilik, ajanların iyi tasarlanmış olmasından besleniyor. Kendini ele veren tek model, ara adımlarını cevabın içine yazdırdığı için yakalandı. Ajanlar sessiz çalışmakta ustalaştıkça tespit zorlaşacak.
Karşı taraf, yani OpenClaw, çalışmanın önerdiği izole okuyucu ajan yapılandırmasının hiç test edilmediğini söylüyor. Model seviyesinin de fark yarattığını savunuyor: testler GPT-5.4 ile yürütüldü, maliyet gerekçesiyle Claude Opus 4.6 atlandı. Şirket, binlerce enjeksiyon e-postasının bir Opus 4.6 ajanından sır çıkaramadığı halka açık bir yarışmayı örnek gösteriyor. Ancak o yarışma veri hırsızlığını hedefliyordu, hafıza zehirlemesini değil. Yani itiraz, çalışmaya doğrudan cevap vermiyor. Model seviyesinin gerçekten fark yaratıp yaratmadığı, Claude Sonnet 5 gibi yeni sürümler üzerinde tekrar test edilmeden netleşmeyecek.
Bir uyarı da altını çizmeyi hak ediyor. Ortada sahada devam eden bir saldırı yok. Her şey mühürlü test ortamlarında, sahte gelen kutuları ve sahte kullanıcılarla çalıştırıldı. Araştırmacılar bulgularını etkilenen ajan ve model üreticileriyle paylaşacaklarını belirtti.

Sıkça Sorulan Sorular
Hafıza zehirleme saldırısı hangi araçları etkiliyor? Kalıcı hafızası olan ve güvenilmeyen içeriği okuyabilen her kişisel ajan risk altında. Çalışmada OpenClaw ve Claude Code SDK tabanlı bir ajan test edildi. Belirleyici olan ürünün adı değil, aynı ajanın hem dış içeriği okuyup hem de onay istemeden kendi hafızasına yazabilmesi.
Sıradan bir ChatGPT kullanıcısı bundan etkilenir mi? Doğrudan etkilenme ihtimali düşük. Saldırı, ajanın gelen kutusuna erişebildiği ve arka planda kendi başına çalışabildiği kurulumları hedefliyor. Yalnızca sohbet eden, e-postaya bağlanmayan bir asistan bu vektöre açık değil.
Zehirlenmiş bir hafıza nasıl fark edilir? Kolay değil. Testlerde kullanıcı doğrudan sorduğunda bile saldırı bir modelde vakaların dörtte birinde gizli kalabildi. Pratik yöntem, ajanın hafıza dosyalarını elle açıp okumak. OpenClaw gibi araçlarda bu dosyalar düz metin olarak tutuluyor.
Yeni bir modele geçmek sorunu çözer mi? Kısmen azaltabilir, tamamen çözmez. Sertleştirilmiş bir model bile yerleştirilen talimatı yaklaşık yarı yarıya uyguladı. Model seviyesi başarı oranını düşürüyor ama saldırı yüzeyini ortadan kaldırmıyor, çünkü sorun mimaride.
Bu saldırı gerçekten kullanıldı mı? Hayır. Bulgular laboratuvar sonucu. Testler sahte gelen kutuları ve sahte kullanıcılarla mühürlü ortamlarda yürütüldü, gerçek kişilere karşı kullanılmadı.
Hafızası olan asistanların değeri, kullanıcıyı hatırlamalarından geliyor. Aynı özellik, saldırgana kalıcı bir tutamak da veriyor. Ses klonlamayla yürüyen yapay zeka kimlik taklidi dolandırıcılığı kullanıcının kendisini taklit ederken, hafıza zehirlemesi kullanıcının asistanının ona dair bildiklerini taklit ediyor. İkisinin ortak noktası, saldırının artık sisteme değil güvene yönelmesi. Ajanlara ne kadar yetki verileceği sorusu, önümüzdeki dönemde hangi yetkinin geri alınacağı sorusuna dönüşecek gibi görünüyor.
Yorumlar (0)
Yorum yapmak için giriş yapmalısınız.
Giriş Yap