Siber güvenlik dünyasında suların durulmadığı bir devirden geçiyoruz. Son olarak siber güvenlik şirketi SquareX, yapay zeka tabanlı arama motoru Perplexity’i, kendi geliştirdikleri Comet tarayıcısında önemli bir güvenlik açığı barındırmakla suçladı. SquareX araştırmacıları, tarayıcıda mahallî komutların yürütülmesine imkan tanıyan saklı bir uygulama programlama arayüzü (API) bulunduğunu sav etti. Lakin Perplexity cephesinden bu tezlere çok sert bir cevap geldi. Şirket, raporun büsbütün temelsiz olduğunu ve bunun giderek büyüyen “sahte güvenlik araştırması” sorununun bir kesimi olduğunu savundu.

AI tarayıcısı Comet hakkında önemli sav: Güvenlik açığı mı, manipülasyon mu?

SquareX’in argümanına nazaran, Comet tarayıcısında bulunan ve “MCP API” olarak isimlendirilen bu zımnî yapı, gömülü uzantıların kullanıcıların aygıtlarında keyfi lokal komutlar çalıştırmasına müsaade veriyor. Klâsik tarayıcıların güvenlik nedeniyle katiyetle yasakladığı bu durum, araştırmacılara nazaran büyük bir risk teşkil ediyor. Savlara nazaran bu API, Perplexity.ai sayfası üzerinden tetiklenebiliyor. Bu da demek oluyor ki, şayet biri Perplexity sitesini hacklerse, teorik olarak tüm kullanıcıların aygıtlarına erişim sağlayabilir. SquareX araştırmacısı Kabilan Sakthivel, bu durumun Chrome ve Safari üzere tarayıcıların yıllardır oluşturduğu güvenlik prensiplerini hiçe saydığını belirtti.

Perplexity ise bu suçlamaları kesin bir lisanla reddediyor. Teknoloji basınına konuşan şirket sözcüsü, bahsi geçen güvenlik açığının gerçekleşmesi için geliştirici modunun açık olması ve kullanıcının berbat gayeli yazılımı tarayıcıya manuel olarak yüklemesi gerektiğini vurguladı. Şirket, Comet Asistanı’nın tek başına bu süreci yapamayacağını, sürecin büsbütün insan müdahalesi gerektirdiğini belirtiyor. Ayrıyeten, lokal sistem erişimi için kullanıcı onayının alınmadığı savının da “kategorik olarak yanlış” olduğunu savunan Perplexity, her komut için kullanıcının açık isteğinin koşul olduğunu söz etti.

Tartışmanın boyutu teknik ayrıntıların ötesine geçerek karşılıklı suçlamalara dönüştü. Perplexity, SquareX’in raporu kendilerine erişimi olmayan bir Google Dokümanı linki olarak gönderdiğini ve ayrıntıları incelemelerine fırsat verilmediğini öne sürdü. Buna karşılık SquareX geri adım atmayarak, Perplexity’nin tezler ortaya çıktıktan sonra tarayıcıya sessiz bir güncelleme yaptığını savundu. Güvenlik şirketi, güncelleme öncesinde bağımsız araştırmacıların saldırıyı tekrarlayabildiğini, fakat güncelleme sonrasında tıpkı sürecin engellendiğini belirtti. SquareX, bu durumu tarayıcının daha inançlı hale gelmesi ismine olumlu bir gelişme olarak nitelendiriyor.

Yapay zeka dayanaklı tarayıcıların ve araçların hayatımıza girmesiyle birlikte güvenlik standartları yine tartışmaya açılıyor. Klasik tarayıcı güvenlik tedbirleri ile yeni kuşak yapay zeka yetenekleri ortasındaki bu istikrar, kullanıcıların bilgilerini korumak ismine kritik bir kıymet taşıyor. Siz bu hususta ne düşünüyorsunuz? Kullandığınız yapay zeka araçlarının tarayıcı müsaadelerine dikkat ediyor musunuz yoksa varsayılan ayarlarla mı devam ediyorsunuz? Görüşlerinizi yorumlarda paylaşmayı unutmayın.