Yorum · AI güvenliği · 4 dk okuma
Prompt injection %340 arttı: tetik kimde?
OWASP 2026: prompt injection en hızlı büyüyen AI saldırısı, dağıtımların %73'ünde görülüyor. Tehlike otonomiyle büyüyor. ILURA neden yapısal olarak bu yüzeyin dışında kalıyor?
Rapor ne diyor
OWASP’ın 2026 güvenlik çalışması, sahadaki çoğu kişinin zaten hissettiği şeyi sayıya döktü: prompt injection artık en hızlı büyüyen AI saldırı sınıfı — yıllık %340 artış ve üretimdeki dağıtımların yaklaşık %73’ünde görülüyor. Rahatsız edici kısmı teşhis. Bazı araştırmacılar bunun yamayla kapanacak bir hata değil, talimatla veriyi aynı kanaldan alan sistemlerin yapısal bir özelliği olduğunu söylüyor: metin girer, davranış çıkar.
Mekanizma basit. Saldırgan, modelin okuyacağı içeriğin içine talimat gizliyor: bir web sayfası, e-posta imzası, paylaşılan belge, takvim daveti. Model o içeriği işlerken “özetlenecek veri” ile “uyulacak komut”u güvenilir biçimde ayıramıyor.
Zarar otonomiye bağlı
Zehirlenmiş bir talimat, sistemin onunla ne yapacağı kadar tehlikeli. Yapıştırdığın tek paragrafa salt-okunur yardımın etki alanı küçüktür. Gelen kutuna ve dosyalarına sürekli erişimi olan, üstüne gönderme, satın alma ya da silme yetkisi bulunan bir agent ise büyük bir etki alanıdır — orada gizli bir satır, sen döngüde değilken senin adına alınan gerçek bir aksiyona dönüşür.
2026’nın en açık sistemleri tam da otonom olanlar: hesaplara bağlı, adımlar arasında insan denetimi olmadan çalışan her-an-açık agent’lar. Onları faydalı yapan yetenek, injection’ın sömürdüğü yetenekle aynı. Çözüm giderek tek bir şeye iniyor: agent’ın erişebileceği alanı daralt ve kararı bir insanda tut.
ILURA nerede duruyor
ILURA’nın bu saldırıya açıklığı, sonradan eklenmiş bir filtreyle değil, tasarımla sınırlı. Üç özellik işi yapıyor. Sen çağırırsın — agent, hesaplarını tarayan bir döngüde değil, sen çağırınca çalışır. Sen onaylarsın — agent taslak üretir; taslağı okuyup göndermeye sen karar verirsin. Ve seçili metinle çalışır — yalnızca ona verdiğin kelimeler akışa girer, cihaz-üstü, Apple Intelligence üzerinden.
Bir araya geldiğinde klasik injection yolu büyük ölçüde kapanır. Gizli bir talimatın ele geçireceği, ortam-erişimli otonom bir agent yok; zehirli bir satırın geri alınamaz bir aksiyona döneceği gözetimsiz bir adım yok. Yapıştırdığın metin bir komut kaçırmaya çalışsa bile en kötü ihtimal daha kötü bir taslaktır — onu görürsün ve göndermezsin.
Bu, “ILURA hacklenemez” iddiası değil; hiçbir yazılım bunu hak etmez. Daha dar, dürüst bir iddia: güvenlik alanının daha güvenli varsayılan olarak yöneldiği mimari — dar erişim, döngüde insan, varsayılan cihaz-üstü — ILURA’nın zaten üzerinde çalıştığı mimari.
Kendi agent’ını cihazında yetiştirmek dakikalar sürer — App Store’dan ücretsiz başla. Konuyu derinleştirmek istersen Öğrenme Merkezi burada.