Siber güvenlik dünyasında suların durulmadığı bir dönemden geçiyoruz. Son olarak siber güvenlik şirketi SquareX, yapay zeka tabanlı arama motoru Perplexity’i, kendi geliştirdikleri Comet tarayıcısında ciddi bir güvenlik açığı barındırmakla suçladı. SquareX araştırmacıları, tarayıcıda yerel komutların yürütülmesine olanak tanıyan gizli bir uygulama programlama arayüzü (API) bulunduğunu iddia etti. Ancak Perplexity cephesinden bu iddialara çok sert bir yanıt geldi. Şirket, raporun tamamen asılsız olduğunu ve bunun giderek büyüyen “sahte güvenlik araştırması” probleminin bir parçası olduğunu savundu.
AI tarayıcısı Comet hakkında ciddi iddia: Güvenlik açığı mı, manipülasyon mu?
SquareX’in iddiasına göre, Comet tarayıcısında bulunan ve “MCP API” olarak adlandırılan bu gizli yapı, gömülü uzantıların kullanıcıların cihazlarında keyfi yerel komutlar çalıştırmasına izin veriyor. Geleneksel tarayıcıların güvenlik nedeniyle kesinlikle yasakladığı bu durum, araştırmacılara göre büyük bir risk teşkil ediyor. İddialara göre bu API, Perplexity.ai sayfası üzerinden tetiklenebiliyor. Bu da demek oluyor ki, eğer biri Perplexity sitesini hacklerse, teorik olarak tüm kullanıcıların cihazlarına erişim sağlayabilir. SquareX araştırmacısı Kabilan Sakthivel, bu durumun Chrome ve Safari gibi tarayıcıların yıllardır oluşturduğu güvenlik ilkelerini hiçe saydığını belirtti.
Perplexity ise bu suçlamaları kesin bir dille reddediyor. Teknoloji basınına konuşan şirket sözcüsü, bahsi geçen güvenlik açığının gerçekleşmesi için geliştirici modunun açık olması ve kullanıcının kötü amaçlı yazılımı tarayıcıya manuel olarak yüklemesi gerektiğini vurguladı. Şirket, Comet Asistanı’nın tek başına bu işlemi yapamayacağını, sürecin tamamen insan müdahalesi gerektirdiğini belirtiyor. Ayrıca, yerel sistem erişimi için kullanıcı onayının alınmadığı iddiasının da “kategorik olarak yanlış” olduğunu savunan Perplexity, her komut için kullanıcının açık rızasının şart olduğunu ifade etti.
Tartışmanın boyutu teknik detayların ötesine geçerek karşılıklı suçlamalara dönüştü. Perplexity, SquareX’in raporu kendilerine erişimi olmayan bir Google Dokümanı linki olarak gönderdiğini ve detayları incelemelerine fırsat verilmediğini öne sürdü. Buna karşılık SquareX geri adım atmayarak, Perplexity’nin iddialar ortaya çıktıktan sonra tarayıcıya sessiz bir güncelleme yaptığını savundu. Güvenlik şirketi, güncelleme öncesinde bağımsız araştırmacıların saldırıyı tekrarlayabildiğini, ancak güncelleme sonrasında aynı işlemin engellendiğini belirtti. SquareX, bu durumu tarayıcının daha güvenli hale gelmesi adına olumlu bir gelişme olarak nitelendiriyor.
Yapay zeka destekli tarayıcıların ve araçların hayatımıza girmesiyle birlikte güvenlik standartları yeniden tartışmaya açılıyor. Geleneksel tarayıcı güvenlik önlemleri ile yeni nesil yapay zeka yetenekleri arasındaki bu denge, kullanıcıların verilerini korumak adına kritik bir önem taşıyor. Siz bu konuda ne düşünüyorsunuz? Kullandığınız yapay zeka araçlarının tarayıcı izinlerine dikkat ediyor musunuz yoksa varsayılan ayarlarla mı devam ediyorsunuz? Görüşlerinizi yorumlarda paylaşmayı unutmayın.
