माइक्रोसॉफ्ट ने अपने कोपायलट एआई सहायक में एक सुरक्षा भेद्यता को ठीक किया है जिसके कारण हमलावर एक हानिरहित दिखने वाले लिंक पर एक क्लिक के माध्यम से संवेदनशील उपयोगकर्ता डेटा निकाल सकते थे। वेरोनिस के सुरक्षा शोधकर्ताओं ने इस खामी की खोज की, जिसमें एक बहु-चरणीय हमले का प्रदर्शन किया गया जो उपयोगकर्ता के नाम, स्थान और कोपायलट चैट इतिहास से विवरण चुरा सकता है।
हमला, एक बार उपयोगकर्ता द्वारा लिंक पर क्लिक करने के बाद शुरू होने पर, कोपायलट चैट विंडो बंद होने के बाद भी चलता रहा, जिसके लिए आगे किसी बातचीत की आवश्यकता नहीं थी। इस शोषण ने एंटरप्राइज़ एंडपॉइंट सुरक्षा नियंत्रणों को दरकिनार कर दिया और एंडपॉइंट सुरक्षा अनुप्रयोगों द्वारा पता लगाने से बच गया। वेरोनिस के सुरक्षा शोधकर्ता डोलेव टैलर ने आर्स टेक्निका को बताया, "एक बार जब हम इस दुर्भावनापूर्ण संकेत के साथ यह लिंक वितरित कर देते हैं, तो उपयोगकर्ता को केवल लिंक पर क्लिक करना होता है और दुर्भावनापूर्ण कार्य तुरंत निष्पादित हो जाता है।" "यहां तक कि अगर उपयोगकर्ता केवल लिंक पर क्लिक करता है और कोपायलट चैट के टैब को तुरंत बंद कर देता है, तब भी शोषण काम करता है।"
यह भेद्यता कोपायलट जैसे एआई-संचालित उपकरणों में निहित जटिल सुरक्षा चुनौतियों पर प्रकाश डालती है। ये उपकरण, उत्पादकता बढ़ाने और जानकारी प्रदान करने के लिए डिज़ाइन किए गए हैं, अक्सर उपयोगकर्ताओं, डेटा और अंतर्निहित प्रणालियों के बीच जटिल बातचीत पर निर्भर करते हैं। यह जटिलता हमलावरों के लिए कमजोरियों का फायदा उठाने और संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने के अवसर पैदा कर सकती है।
यह हमला एआई सहायकों के लिए मजबूत सुरक्षा उपायों के महत्व को रेखांकित करता है। इन उपायों में न केवल एआई मॉडल ही शामिल होना चाहिए, बल्कि वह बुनियादी ढांचा और इंटरफेस भी शामिल होना चाहिए जिसके माध्यम से उपयोगकर्ता सिस्टम के साथ बातचीत करते हैं। इस मामले में, भेद्यता उस तरीके में मौजूद थी जिस तरह से कोपायलट ने एक हानिरहित दिखने वाले लिंक द्वारा ट्रिगर किए गए कमांड को संसाधित और निष्पादित किया।
यह घटना एआई-संचालित प्रौद्योगिकियों के सुरक्षा और गोपनीयता निहितार्थों के बारे में व्यापक सवाल उठाती है। जैसे-जैसे एआई दैनिक जीवन में तेजी से एकीकृत होता जा रहा है, यह सुनिश्चित करना महत्वपूर्ण है कि इन प्रणालियों को सुरक्षा को सर्वोच्च प्राथमिकता के रूप में डिजाइन और तैनात किया जाए। इसमें कठोर परीक्षण, निरंतर निगरानी और सक्रिय भेद्यता प्रबंधन शामिल है।
यह विकास सुरक्षा जोखिमों की पहचान करने और उन्हें कम करने में व्हाइट-हैट हैकर्स की महत्वपूर्ण भूमिका पर भी जोर देता है। वेरोनिस की इस भेद्यता की खोज ने माइक्रोसॉफ्ट को दुर्भावनापूर्ण अभिनेताओं द्वारा इसका फायदा उठाने से पहले इस मुद्दे को हल करने की अनुमति दी। यह सहयोगात्मक दृष्टिकोण, जहां सुरक्षा शोधकर्ता सुरक्षा में सुधार के लिए प्रौद्योगिकी विक्रेताओं के साथ काम करते हैं, एक सुरक्षित डिजिटल पारिस्थितिकी तंत्र को बनाए रखने के लिए आवश्यक है।
माइक्रोसॉफ्ट ने तब से भेद्यता के लिए एक फिक्स जारी किया है। उपयोगकर्ताओं को संभावित हमलों से खुद को बचाने के लिए कोपायलट का नवीनतम संस्करण चलाने की सलाह दी जाती है। कंपनी ने फिक्स की प्रकृति के बारे में विशिष्ट विवरण जारी नहीं किए हैं, ऐसा संभवतः दुर्भावनापूर्ण अभिनेताओं को पैच को रिवर्स-इंजीनियरिंग करने और नए शोषण विकसित करने से रोकने के लिए किया गया है। वेरोनिस से आगे के विश्लेषण और प्रकटीकरण लंबित होने के कारण, विशिष्ट प्रकार की भेद्यता और शोषण की विधि के बारे में आगे के विवरण सीमित हैं।
Discussion
Join the conversation
Be the first to comment