Copilot-a göndərilən adi link şirkət məlumatlarının oğurlanmasına səbəb ola bilər

    Kibertəhlükəsizlik şirkəti Varonis Threat Labs Microsoft-un süni intellekt köməkçisi olan Microsoft Copilot platformasında istifadəçilərin həssas məlumatlarını riskə ata biləcək yeni təhlükəsizlik boşluğu aşkarlayıb. "SearchLeak" adlandırılan hücum üsulu vasitəsilə hücumçular Copilot-u məlumat oğurlamaq üçün alətə çevirə bilirlər. Araşdırmaya görə, hücum zənciri üç fərqli boşluğun birləşdirilməsi ilə işləyir. Bunlardan biri süni intellekt sistemlərinə xas olan yeni "Parameter-to-Prompt Injection (P2P)" texnikası, digərləri isə HTML injection və Bing üzərindən Content Security Policy (CSP) müdafiəsini aşmağa imkan verən SSRF boşluqlarıdır.

    Hücumun ilk mərhələsində istifadəçiyə xüsusi hazırlanmış URL göndərilir. Linkin içərisində yerləşdirilən gizli təlimatlar Copilot tərəfindən emal olunur və sistemin daxili məlumatlara çıxış imkanlarından istifadə edilir. Nəticədə süni intellekt istifadəçinin giriş icazəsi olan məlumatları toplamağa başlayır. Ən təhlükəli məqam isə odur ki, hücum yalnız şəxsi məlumatlarla məhdudlaşmır. Varonis-in məlumatına görə, SearchLeak vasitəsilə şirkət daxilində istifadəçinin çıxış edə bildiyi e-poçtlar, görüş qeydləri, SharePoint sənədləri, OneDrive faylları və digər korporativ məlumatlar da ələ keçirilə bilər.

    Normal şəraitdə Microsoft Copilot bu cür məlumatların kənar şəxslərə ötürülməsinin qarşısını alan qoruma mexanizmlərinə malikdir. Lakin tədqiqatçılar göstəriblər ki, üç boşluq birlikdə istifadə edildikdə həmin müdafiə sistemlərini keçmək mümkün olur. Bu hadisə bir daha göstərir ki, süni intellekt sistemləri inkişaf etdikcə, onların təhlükəsizliyinə qarşı yönələn hücumlar da daha mürəkkəb xarakter almağa başlayır.