Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį „Google“.
Pagrindiniai ZDNET pasiūlymai
- Ataka, pavadinta „Reprompt“, naudojo URL parametrą, kad pavogtų vartotojo duomenis.
- Vieno paspaudimo pakako, kad paleistų visą atakos grandinę.
- Užpuolikai gali paimti jautrius Copilot duomenis net uždarius langą.
Tyrėjai atskleidė naują ataką, kuriai vykdyti reikėjo tik vieno paspaudimo, apeinant „Microsoft Copilot“ saugos kontrolę ir leidžiančią pavogti vartotojo duomenis.
Taip pat: Kaip šiandien pašalinti „Copilot AI“ iš „Windows 11“.
Susipažinkite su Reprompt
Trečiadienį „Varonis Threat Labs“ paskelbė naują tyrimą, kuriame dokumentuojamas „Reprompt“ – naujas atakos metodas, kuris paveikė „Microsoft Copilot AI“ asistentą.
„Reprompt“ paveikė „Microsoft Copilot Personal“ ir, pasak komandos, suteikė „grėsmės veikėjams nematomą įėjimo tašką, kad galėtų atlikti duomenų išfiltravimo grandinę, kuri visiškai apeina įmonės saugos kontrolę ir pasiekia neskelbtinus duomenis be aptikimo – viskas vienu paspaudimu“.
Taip pat: Dirbtinio intelekto kompiuteriai neparduodami, o „Microsoft“ asmeninių kompiuterių partneriai maišosi
Kad ši ataka būtų suaktyvinta, nereikėjo jokio vartotojo sąveikos su Copilot ar papildiniais. Vietoj to aukos turėjo spustelėti nuorodą.
Po šio vieno paspaudimo „Reprompt“ gali apeiti saugos kontrolę, piktnaudžiaudama URL parametru „q“, kad „Copilot“ pateiktų raginimus ir kenkėjiškus veiksmus, o tai gali leisti užpuolikui prašyti naudotojo anksčiau pateiktų duomenų, įskaitant asmenį identifikuojančią informaciją (PII).
„Užpuolikas išlaiko kontrolę net tada, kai Copilot pokalbis yra uždarytas, todėl aukos seansas gali būti tyliai išfiltruotas be jokios sąveikos, išskyrus pirmąjį paspaudimą“, – sakė tyrėjai.
Kaip veikė Reprompt?
Reprompt sujungė tris metodus:
- 2 parametro raginimas (P2P įpurškimas): išnaudodamas URL parametrą „q“, užpuolikas gali užpildyti raginimą iš URL ir įvesti sukurtas, kenkėjiškas instrukcijas, kurios privertė Copilot atlikti veiksmus, įskaitant duomenų išfiltravimą.
- Dviguba užklausa: Nors Copilot turėjo apsaugos priemonių, kurios užkirto kelią tiesioginiam duomenų išfiltravimui ar nutekėjimui, komanda nustatė, kad du kartus pakartojus užklausą atlikti veiksmą, jis bus atliktas.
- Grandinės užklausa: Kai pradinis raginimas (kartojamas du kartus), buvo įvykdytas, Reprompt atakos grandinės serveris išleido tolesnius nurodymus ir užklausas, pvz., reikalavo papildomos informacijos.
Varonio teigimu, šį metodą buvo sunku aptikti, nes vartotojo ir kliento pusės stebėjimo įrankiai jo nematė, o užmaskuodamas išfiltruojamus duomenis apeidavo integruotus saugumo mechanizmus.
„Copilotas pamažu nutekina duomenis, leisdamas grėsmei panaudoti kiekvieną atsakymą kitam kenkėjiškam nurodymui generuoti“, – pridūrė komanda.
Galimas koncepcijos įrodymo (PoC) vaizdo demonstravimas.
„Microsoft“ atsakymas
2025 m. rugpjūčio 31 d. „Microsoft“ tyliai informavo apie perspėjimą. „Microsoft“ pataisė pažeidžiamumą prieš viešai paskelbdama ir patvirtino, kad tai nebuvo paveikta įmonės „Microsoft 365 Copilot“ naudotojų.
Taip pat: Norite „Microsoft 365“? Tik nesirinkite Premium – štai kodėl
„Dėkojame, kad Varonis Threat Labs atsakingai pranešė apie šią problemą“, – ZDNET sakė „Microsoft“ atstovas. „Mes įdiegėme apsaugos priemones, kurios atitiko aprašytą scenarijų, ir įgyvendiname papildomas priemones, skirtas sustiprinti apsaugos priemones nuo panašių metodų, kaip dalį mūsų nuodugnios gynybos metodo.
Kaip išlikti saugiam
Dirbtinio intelekto pagalbininkai ir naršyklės yra palyginti naujos technologijos, todėl beveik savaitė nepraėjo, kad nebūtų aptikta saugumo problema, dizaino trūkumas ar pažeidžiamumas.
Sukčiavimas yra vienas iš labiausiai paplitusių kibernetinių atakų vektorių, todėl dėl šios konkrečios atakos naudotojas turėjo spustelėti kenkėjišką nuorodą. Taigi, jūsų pirmoji gynybos linija buvo būti atsargiems, kai kalbama apie nuorodas, ypač jei nepasitikėjote šaltiniu.
Taip pat: Dvyniai prieš antrąjį pilotą: palyginau dirbtinio intelekto įrankius su 7 kasdienėmis užduotimis ir yra aiškus nugalėtojas
Kaip ir naudodamiesi bet kuria skaitmenine paslauga, dalindamiesi neskelbtina ar asmenine informacija turėtumėte būti atsargūs. AI padėjėjai, tokie kaip Copilot, taip pat turėtumėte patikrinti, ar nėra neįprasto elgesio, pvz., įtartinų duomenų užklausų ar keistų raginimų, kurie gali pasirodyti.
Varonis rekomendavo dirbtinio intelekto pardavėjams ir naudotojams prisiminti, kad pasitikėjimas naujomis technologijomis gali būti išnaudotas, ir sakė, kad „Reprompt“ yra platesnė svarbių AI asistento pažeidžiamumų klasė, kurią lemia išorinė įvestis.
Todėl komanda pasiūlė, kad URL ir išoriniai įvestis būtų traktuojami kaip nepatikimi, todėl visoje proceso grandinėje turėtų būti įdiegtos patvirtinimo ir saugos kontrolės priemonės. Be to, turėtų būti taikomos apsaugos priemonės, kurios sumažintų greito sujungimo grandinėmis ir pasikartojančių veiksmų riziką, ir tai neturėtų baigtis tik pirminiu raginimu.
