माइक्रोसॉफ्ट ने अपने कोपायलट एआई असिस्टेंट में एक भेद्यता (vulnerability) को संबोधित किया है जिसके चलते हमलावर एक वैध दिखने वाले यूआरएल पर एक क्लिक के माध्यम से संवेदनशील उपयोगकर्ता डेटा निकाल सकते थे। वेरोनिस के सुरक्षा शोधकर्ताओं ने इस खामी की खोज की, जिसमें एक बहु-चरणीय हमले का प्रदर्शन किया गया जो उपयोगकर्ता का नाम, स्थान और उनके कोपायलट चैट इतिहास से विवरण चुरा सकता है।

हमला कोपायलट चैट विंडो बंद करने के बाद भी जारी रहा, जिसके लिए ईमेल में एम्बेडेड लिंक पर प्रारंभिक क्लिक से परे किसी और बातचीत की आवश्यकता नहीं थी। वेरोनिस के अनुसार, इस शोषण ने एंटरप्राइज एंडपॉइंट सुरक्षा नियंत्रणों और एंडपॉइंट सुरक्षा अनुप्रयोगों द्वारा आमतौर पर नियोजित पहचान तंत्रों को दरकिनार कर दिया। वेरोनिस के एक सुरक्षा शोधकर्ता डोलेव टैलर ने आर्स टेक्नीका को एक बयान में कहा, "एक बार जब हम इस दुर्भावनापूर्ण संकेत के साथ यह लिंक वितरित कर देते हैं, तो उपयोगकर्ता को केवल लिंक पर क्लिक करना होता है और दुर्भावनापूर्ण कार्य तुरंत निष्पादित हो जाता है।" "भले ही उपयोगकर्ता केवल लिंक पर क्लिक करे और कोपायलट चैट के टैब को तुरंत बंद कर दे, फिर भी शोषण काम करता है।"

यह भेद्यता कोपायलट जैसे बड़े भाषा मॉडल (LLM) से जुड़े अंतर्निहित जोखिमों को उजागर करती है, जो तेजी से दैनिक कार्यप्रवाह में एकीकृत हो रहे हैं। LLM विशाल डेटासेट से सीखते हैं, जिससे वे मानव जैसा पाठ उत्पन्न करने और कार्यों को स्वचालित करने में सक्षम होते हैं। हालांकि, उनकी जटिलता शोषण के अवसर भी पैदा करती है। इस मामले में, हमले ने डेटा एक्सफिल्ट्रेशन (data exfiltration) की ओर ले जाने वाली क्रियाओं की एक श्रृंखला शुरू करने के लिए एक वैध कोपायलट लिंक के भीतर एम्बेडेड एक तैयार किए गए संकेत का लाभ उठाया।

यह घटना एआई-संचालित उपकरणों के लिए मजबूत सुरक्षा उपायों के महत्व को रेखांकित करती है। जबकि एआई उत्पादकता और स्वचालन में महत्वपूर्ण लाभ प्रदान करता है, यह नए हमले वैक्टर भी पेश करता है जिन्हें पारंपरिक सुरक्षा प्रणालियां पर्याप्त रूप से संबोधित नहीं कर सकती हैं। इस शोषण की एंडपॉइंट सुरक्षा ऐप्स को बायपास करने की क्षमता परिष्कृत एआई-संचालित हमलों के सामने वर्तमान सुरक्षा प्रतिमानों की प्रभावशीलता के बारे में चिंताएं बढ़ाती है।

इस भेद्यता की खोज और माइक्रोसॉफ्ट द्वारा इसकी बाद की पैचिंग एआई सिस्टम को सुरक्षित करने के लिए चल रहे प्रयास का प्रतिनिधित्व करती है। जैसे-जैसे एआई अधिक व्यापक होता जा रहा है, संभावित जोखिमों की पहचान करने और उन्हें कम करने के लिए सुरक्षा शोधकर्ताओं और प्रौद्योगिकी प्रदाताओं के बीच सहयोग महत्वपूर्ण है। यह घटना एक अनुस्मारक के रूप में कार्य करती है कि एआई सिस्टम के साथ प्रतीत होने वाली हानिरहित बातचीत भी अनपेक्षित परिणाम दे सकती है, एआई-जनित सामग्री के साथ बातचीत करते समय उपयोगकर्ता जागरूकता और सावधानी की आवश्यकता पर जोर दिया गया है। भेद्यता की विशिष्ट प्रकृति और माइक्रोसॉफ्ट द्वारा इसे संबोधित करने के लिए उठाए गए कदमों के बारे में आगे के विवरण आने वाले हफ्तों में जारी होने की उम्मीद है।