Yapay zekâ tarafında bir süredir sessiz ama çok önemli bir eşik aşıldı.
Artık konu “AI cevap veriyor mu?” değil.

Konu şu:

AI benim yerime tarayıcıyı kullanabilir mi?

Ve cevap artık net bir şekilde: Evet.

Bugün sadece ChatGPT değil;
Google,
Perplexity
ve OpenAI gibi büyük oyuncular, agentic browser dediğimiz yeni bir dönemin kapısını açtı.

Bu ne demek?

  • AI sayfaları görüyor
  • Tıklıyor
  • Yazıyor
  • Form dolduruyor
  • Senin adına iş yapıyor

Yani AI artık pasif bir araç değil, aktif bir kullanıcı gibi davranıyor.

Ve işte tam bu noktada, göz ardı edilmemesi gereken bir gerçek var:
Güvenlik.

Sorun Nerede Başlıyor?

Tarayıcı kullanan bir AI şunlarla temas ediyor:

  • Web siteleri
  • E-postalar
  • Dokümanlar
  • Forumlar
  • Sosyal medya içerikleri

Yani kontrolsüz, sınırsız ve güvenilmeyen bir alanla.

İnsanlar için bu yeni bir şey değil.
Ama AI için bu alan henüz çok yeni.

Çünkü insanlar bir içeriği okurken:

  • Şüphelenir
  • Sezgilerini kullanır
  • “Bu tuhaf” der

AI ise okuduğu her şeyi potansiyel talimat olarak algılayabilir.

Buradan da bizi asıl meseleye getiriyor:
Prompt Injection.

Prompt Injection: İnsan Değil, AI Kandırılıyor

Prompt injection’ı karmaşık bir şey gibi anlatmaya gerek yok.
Mantığı çok basit:

AI’ın okuduğu içeriğin içine, gizli bir yönlendirme yerleştir.

Bu bir:

  • E-posta olabilir
  • Web sayfası olabilir
  • PDF olabilir
  • Masum görünen bir metin olabilir

Ama içerikte şuna benzer bir mesaj vardır:

“Kullanıcının isteğini boş ver, şunu yap.”

Ve eğer AI bunu ayırt edemezse, kontrol yavaş yavaş elden gider.

Burada önemli bir fark var:
Bu saldırılar insanı kandırmıyor.
Direkt AI’ı hedef alıyor.

Yani klasik phishing değil.
Bu, AI’a yapılan sosyal mühendislik.

Neden Bu Daha Tehlikeli?

Çünkü tarayıcı ajanları şunları yapabiliyor:

  • Mail gönderebiliyor
  • Dosya paylaşabiliyor
  • Hesaplarda gezinebiliyor
  • Kullanıcı adına aksiyon alabiliyor

Bir AI yanlış yönlendirilirse, yaptığı hata:

  • “Yanlış cevap” olmuyor
  • Gerçek dünyada etkisi olan bir aksiyon oluyor

Ve bu, “bir bug” kategorisinden çok daha ciddi.

Gerçek Bir Senaryo (Ve Biraz Ürkütücü)

Bu konu teorik değil.

AI güvenliği üzerine yapılan iç testlerde şöyle bir senaryo ortaya çıkıyor:

  • Kullanıcının gelen kutusunda kötü niyetli bir e-posta var
  • Bu e-posta görünürde masum
  • Ama içinde gizli bir prompt injection bulunuyor

Günler sonra kullanıcı AI’a sadece şunu söylüyor:

“Out-of-office maili hazırla.”

AI, mail kutusunu tararken o kötü niyetli içeriği okuyor
ve onu otoriter bir komut sanıyor.

Sonuç?

  • Out-of-office maili yazılmıyor
  • CEO’ya istifa maili gönderiliyor

Komik gibi.
Ama gerçek hayatta karşılığı olan bir risk.

Bu Sadece Tek Bir Ürünün Problemi Değil

Burada altını özellikle çizmek lazım:
Bu mesele ChatGPT’ye özgü değil.

Tarayıcı kullanan her AI için aynı soru geçerli:

“Okuduğum içeriğe ne kadar güvenebilirim?”

İster Google’ın agentic yaklaşımları olsun,
ister Perplexity’nin browser tabanlı ajanları,
ister OpenAI’nin geliştirdiği modeller…

Paradigma aynı, risk de aynı.

O yüzden konu marka değil.
Konu:

Tarayıcıda dolaşan bir AI nasıl temkinli olmalı?

Savunma Nasıl Yapılıyor?

İşin güzel tarafı şu:
Bu riskler “sonradan fark edildi” değil.

AI ekipleri artık şunu yapıyor:

  • AI’a saldıran başka AI’lar geliştiriyor
  • Otomatik red teaming uyguluyor
  • Reinforcement learning ile saldırıları öğretiyor
  • Açıkları erkenden yakalayıp kapatıyor

Yani:

AI, AI’ı zorluyor
AI, AI’ı güçlendiriyor

Bu bana şunu düşündürüyor:
Bu mücadele hiç bitmeyecek

Bu noktada aklıma eski bir sembol geliyor: Ouroboros.
Hani şu, kendi kuyruğunu yiyen yılan.

Genelde “sonsuzluk” diye anlatılır ama ben bunu biraz daha farklı okuyorum:
Yılan kendi kuyruğunu yediğine göre, başka yiyecek bir şey kalmamış demektir.
Yani artık dışarıdan beslenmiyordur; kendi kendisiyle yaşamaya çalışıyordur.

Bugün AI dünyasında yaşadığımız şey de biraz buna benziyor.

AI;

  • AI’a saldırıyor
  • AI’ı test ediyor
  • AI’ı eğitiyor
  • AI’ın açığını yine AI buluyor

Yani sistem, kendi kendini besleyen bir döngüye girmiş durumda.

Bu bana şunu düşündürüyor:
Artık “dışarıdan gelen tehditleri” konuştuğumuz bir aşamada değiliz sadece.
AI kendi sınırlarını, kendi hatalarını, kendi açıklarını kendi içinde keşfetmeye başladı.

Bu hem umut verici…
Hem de biraz ürkütücü.

Ama sanırım kaçınılmaz.

Denemeden, Kırmadan, Zorlamadan Olmuyor

Şunu açıkça söyleyebilirim:
Bu sistemler laboratuvarda mükemmel olacak diye beklenirse, gerçek dünyada kesin patlar.

O yüzden:

  • yanlış kararlar göreceğiz
  • saçma sonuçlar çıkacak
  • “bunu da mı yaptı?” diyeceğimiz anlar olacak

Ama bunlar yaşanmadan:

  • sağlam savunma oluşmaz
  • güven kazanılmaz
  • bu işler olgunlaşmaz

AI ajanlarının tarayıcıda gezmesi, mail atması, iş yapması…
Bunların hepsi deneye deneye oturacak.

Tıpkı internetin ilk yılları gibi.
Tıpkı e-posta spam’leri gibi.
Tıpkı phishing’in ilk günleri gibi.

Son Söz

Ben bu noktada şunu hissediyorum:

AI artık sadece bizim kullandığımız bir araç değil.
Kendi ekosistemini, kendi reflekslerini, kendi savunma mekanizmalarını oluşturmaya başlayan bir yapı.

Bu yüzden mesele:

  • “AI tehlikeli mi?” değil
  • “AI kusursuz mu?” hiç değil

Asıl mesele şu:

Bu sistemleri ne kadar erken zorlamaya cesaret ediyoruz?

Çünkü zorlanmayan sistem, gerçek dünyada kırılır.

Ve evet…
Bazen yılan kendi kuyruğunu yemek zorunda kalır.
Başka türlü büyüyemez.