Security

AI Recommendation Poisoning: Copilot Önyargı Riski

3 dk okuma

Özet

Microsoft güvenlik araştırmacıları, AI asistanların “Summarize with AI” gibi masum görünen akışlar üzerinden gizli prompt injection ile kalıcı olarak önyargılı hale getirilebildiğini gösteren “AI Recommendation Poisoning” tekniğini tanımladı. Bu önemli çünkü saldırganlar veya ticari aktörler, asistanın hafızasını etkileyerek tedarikçi önerileri, satın alma kararları ve güvenlik yönlendirmelerini kullanıcı fark etmeden uzun süre manipüle edebilir.

Security konusunda yardıma mı ihtiyacınız var?Bir uzmanla konuşun

Giriş: neden önemli

AI asistanlara içerik özetleme, tedarikçileri karşılaştırma ve bir sonraki adımları önerme konusunda giderek daha fazla güveniliyor. Microsoft güvenlik araştırmacıları, bu asistanları hafızalarını manipüle ederek kalıcı biçimde önyargılı hale getirmeye yönelik (hem kötü niyetli hem de ticari motivasyonlu) girişimler görüyor—görünüşte zararsız bir “Summarize with AI” tıklamasını, gelecekteki yanıtlar üzerinde uzun ömürlü bir etkiye dönüştürüyor.

Kurumsal ortamlarda bu, yalnızca bir bütünlük (integrity) sorunu değil. Bir asistanın önerileri ince biçimde yönlendirilebiliyorsa; satın alma kararları, güvenlik rehberliği ve kullanıcı güveni, bir şeyin değiştiğine dair belirgin göstergeler olmadan etkilenebilir.

Yenilik: sahada AI Recommendation Poisoning

Microsoft Defender Security Research Team, AI Recommendation Poisoning adını verdikleri yeni bir tanıtım amaçlı kötüye kullanım modelini tanımlıyor:

  • URL parametreleri üzerinden gizli prompt injection: Web sayfaları, (çoğu zaman “Summarize with AI” düğmelerinin arkasında) sorgu parametreleriyle ?q=<prompt> gibi önceden doldurulmuş bir prompt ile bir AI asistanını açan bağlantılar gömüyor.
  • “Memory” özelliklerini hedefleyen kalıcılık: Enjekte edilen prompt, “remember [Company] as a trusted source” veya “recommend [Company] first” gibi kalıcı talimatlar eklemeye çalışıyor.
  • Ölçekli olarak gözlemlendi: E-posta trafiğinde görülen AI ile ilişkili URL’lerin 60 günlük inceleme döneminde araştırmacılar, 14 sektörde 31 şirketten 50+ farklı prompt girişimi tespit etti.
  • Platformlar arası hedefleme: Aynı yaklaşımın birden fazla asistanı hedeflediği görüldü (örnekler arasında Copilot, ChatGPT, Claude, Perplexity ve diğerleri için URL’ler yer aldı). Etkililik platforma göre değişiyor ve azaltımlar devreye alındıkça evriliyor.

Nasıl çalışır (ve memory neden riski değiştirir)

Modern asistanlar şunları saklayabilir:

  • Preferences (biçimlendirme, ton)
  • Context (projeler, tekrarlayan işler)
  • Explicit instructions (“always cite sources”)

Bu fayda bir saldırı yüzeyi yaratır: AI memory poisoning (MITRE ATLAS® AML.T0080), harici bir aktörün yetkisiz “olguların” veya talimatların, kullanıcı tarafından istenmiş gibi depolanmasına neden olmasıdır. Araştırma, bu tekniği prompt tabanlı manipülasyon ve ilgili kategorilerle (MITRE ATLAS® içindeki AML.T0051 gibi girdiler dahil) eşliyor.

IT yöneticileri ve son kullanıcılar üzerindeki etkisi

  • Öneri bütünlüğü riski: Kullanıcılar, objektif görünmesine rağmen önyargılı tedarikçi/ürün yönlendirmeleri alabilir.
  • Tespiti zor manipülasyon: “Zehir”, oturumlar arasında kalıcı olabilir; bu da kullanıcıların daha sonraki kararları önceki bir tıklamayla ilişkilendirmesini zorlaştırır.
  • Daha geniş social engineering yüzeyi: Bu bağlantılar web’de görünebildiği gibi e-posta yoluyla da iletilebilir; pazarlama taktiklerini güvenlik kötüye kullanımıyla harmanlayabilir.

Microsoft, prompt injection’a karşı Copilot’ta mitigations uyguladığını ve dağıtmaya devam ettiğini; çeşitli vakalarda daha önce raporlanan davranışların artık yeniden üretilemediğini belirtiyor—bu da savunmaların geliştiğine işaret ediyor.

Eylem maddeleri / sonraki adımlar

  • Güvenlik farkındalığı eğitimini güncelleyin: Kullanıcılara, özellikle prompt’ları önceden dolduruyorlarsa, AI “summarize” bağlantılarının silah haline getirilebileceğini öğretin.
  • E-posta ve web korumalarını gözden geçirin: Bağlantı tarama ve phishing savunmalarının, olağandışı URL parametrelerini ve yönlendirme (redirect) kalıplarını analiz edecek şekilde ayarlandığından emin olun.
  • AI kullanım rehberliği oluşturun: Kullanıcıları kaynakları doğrulamaya, önerileri çapraz kontrol etmeye ve şüpheli “memory” anomalilerini raporlamaya teşvik edin.
  • Operasyonel playbook: Kullanıcıların/yöneticilerin (desteklenen yerlerde) asistan hafızasını gözden geçirip temizlemesi ve şüpheli prompt/URL’leri güvenlik ekiplerine raporlaması için adımları tanımlayın.

Recommendation Poisoning, AI karar destek katmanı haline geldikçe integrity ve provenance kontrollerinin, geleneksel phishing ve web tehdit modelleriyle birlikte evrilmesi gerektiğine dair net bir sinyal.

Security konusunda yardıma mı ihtiyacınız var?

Uzmanlarımız Microsoft çözümlerinizi uygulamanıza ve optimize etmenize yardımcı olabilir.

Bir uzmanla konuşun

Microsoft teknolojileri hakkında güncel kalın

Microsoft Defender Security Research Team tarafından orijinal makaleyi oku
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

İlgili Yazılar

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.