Microsoft устранила уязвимость в своем AI-помощнике Copilot, которая позволяла злоумышленникам извлекать конфиденциальные данные пользователей одним щелчком по, казалось бы, безобидной ссылке. Исследователи безопасности из Varonis обнаружили этот недостаток, продемонстрировав многоступенчатую атаку, которая могла привести к утечке таких данных, как имя пользователя, местоположение и детали из истории чатов Copilot.

Атака, начатая после того, как пользователь нажимал на ссылку, продолжала выполняться даже после закрытия чата Copilot, не требуя дальнейшего взаимодействия. По словам исследователя безопасности Varonis Долева Талера, эксплойт обходил корпоративные средства контроля безопасности конечных точек и обнаружение приложениями защиты конечных точек. "Как только мы доставляем эту ссылку с этим вредоносным запросом, пользователю достаточно просто нажать на ссылку, и вредоносная задача немедленно выполняется", - сказал Талер Ars Technica. "Даже если пользователь просто нажимает на ссылку и сразу же закрывает вкладку чата Copilot, эксплойт все равно работает".

Этот тип уязвимости подчеркивает растущие опасения по поводу безопасности инструментов на базе AI и их интеграции в повседневные рабочие процессы. Copilot, как и другие большие языковые модели (LLM), работает путем обработки и реагирования на пользовательские запросы, часто получая доступ и сохраняя пользовательские данные для улучшения своей производительности и персонализации взаимодействий. Эти данные, если они не защищены должным образом, могут стать целью для злоумышленников.

Исследователи Varonis, действуя как "белые хакеры", продемонстрировали, как специально созданный URL-адрес может быть использован для внедрения вредоносных запросов в сеанс Copilot пользователя. Эти запросы затем можно использовать для извлечения конфиденциальной информации или выполнения несанкционированных действий от имени пользователя. Тот факт, что атака продолжалась даже после того, как пользователь закрыл окно чата, подчеркивает возможность постоянных угроз в средах, управляемых AI.

Последствия этой уязвимости выходят за рамки отдельных пользователей. В корпоративных условиях, где Copilot и аналогичные инструменты все чаще используются для таких задач, как обобщение документов, генерация кода и анализ данных, успешная атака может скомпрометировать конфиденциальную бизнес-информацию и интеллектуальную собственность. Возможность обхода средств контроля безопасности конечных точек еще больше усугубляет риск, поскольку традиционные меры безопасности могут быть недостаточными для обнаружения и предотвращения таких атак.

Microsoft выпустила патч для устранения уязвимости, подчеркнув важность своевременного обновления программного обеспечения. Однако этот инцидент служит напоминанием о постоянной необходимости в надежных мерах безопасности и непрерывном мониторинге в эпоху AI. По мере того, как модели AI становятся все более сложными и интегрируются в критически важные системы, исследователи безопасности и разработчики должны работать вместе, чтобы выявлять и смягчать потенциальные уязвимости до того, как они смогут быть использованы злоумышленниками. Инцидент также поднимает вопросы об ответственности разработчиков AI за обеспечение безопасности и конфиденциальности пользовательских данных, а также о необходимости четких руководящих принципов и правил, регулирующих разработку и развертывание технологий AI.