Microsoft Copilot-da Üç Mərhələli Təhlükəsizlik Zəifliyi: Nə Qədər Təhlükəlidir?

Microsoft Copilot-da təhlükəsizlik zəifliyi aşkarlandı

Microsoft-un Copilot süni intellekt platformasında ciddi zəiflik tapılıb. Bu zəiflik hakerlərə istifadəçilərin e-poçtları, iki faktorlu autentifikasiya kodları və digər həssas məlumatlarını oğurlamağa imkan verir. Hücum zənciri "SearchLeak" adı ilə tanınır və üç mərhələdən ibarətdir.

Hücumun mexanizmi

SearchLeak zəifliyi Microsoft 365 Copilot Enterprise Search funksiyasını məlumat oğurlama vasitəsinə çevirir. Hücum Parameter-to-Prompt Injection (P2P) adlı yeni süni intellekt zəifliyindən istifadə edir. Burada haker URL-də yerləşdirilmiş xüsusi sorğu parametri (q parametri) vasitəsilə Copilot-u təhlükəli HTML kodunu icra etməyə məcbur edir.

Microsoft Copilot-un cavabları təhlükəli HTML kodu ehtiva edə bilər, lakin şirkət bu riski azaltmaq üçün cavabları kod blokları içində göstərir ki, brauzer onları mətn kimi qəbul etsin. Lakin bu qoruma cavab yaradılarkən deyil, yalnız sonra tətbiq olunur. Hücumun üç mərhələsi birlikdə işləyərək məlumatların oğurlanmasına şərait yaradır.

Məlumatların oğurlanması və ötürülməsi

Hakerlər oğurladıqları məlumatları öz serverlərinə göndərmək üçün Bing-in Search by Image funksiyasından istifadə edirlər. Bu üsul Microsoft-un Copilot-un xarici domenlərə giriş məhdudiyyətlərini aşmağa imkan verir. Məlumatlar şəkil URL-lərinə yerləşdirilir və Bing vasitəsilə hakerin serverinə ötürülür.

Microsoft-un reaksiyası

Microsoft bu zəifliyi tanıyıb və SearchLeak hücumuna qarşı düzəlişlər edib. Şirkət bildirir ki, Copilot-da təhlükəsizlik qoruyucuları mövcuddur, lakin yeni P2P zəifliyi onların təsirini azaldır. Bu hadisə süni intellekt sistemlərində təhlükəsizliyin mürəkkəbliyini göstərir.

Təsirləri və gələcək perspektivlər

SearchLeak zəifliyi təşkilat daxilində istifadəçilərin e-poçtları, görüş dəvətnamələri, SharePoint sənədləri, OneDrive faylları və digər biznes məlumatlarını hədəfləyə bilərdi. Ekspertlər süni intellektin inkişafı ilə yanaşı, onun təhlükəsizlik mexanizmlərinin də təkmilləşdirilməsinin vacib olduğunu vurğulayırlar.