Microsoft випустила екстрене оновлення безпеки для усунення критичної вразливості максимального рівня загрози у своїй корпоративній ШІ-платформі M365 Copilot. Експлойт дозволяв зловмисникам непомітно викрадати конфіденційну інформацію користувачів за допомогою лише одного кліку.
Про це інформує РБК-Україна з посиланням на Ars Technica.
ШІ "довіряє", і це проблемаГоловна проблема Copilot та інших сучасних LLM-моделей полягає у тому, що алгоритми на фундаментальному рівні неспроможні відрізнити легітимні інструкції користувача від зловмисних команд, захованих у сторонньому контенті (листах, документах чи сайтах, які ШІ аналізує або реферує).
Через цю архітектурну особливість розробникам доводиться будувати складні зовнішні бар'єри (гардрейли), які хакери регулярно вчаться обходити.
Один із таких бар'єрів у Copilot забороняє ШІ самостійно надсилати електронні листи чи заповнювати веб-форми, щоб запобігти витоку даних. Проте зловмисники вигадали спосіб упаковувати вкрадену інформацію всередину стандартних HTML-тегів, наприклад, в адресу зображення .
Коли браузер намагається відобразити таку картинку, він автоматично надсилає HTTP-запит на сервер хакера, залишаючи секретні дані у системних логах.
Як працювала атака SearchLeak?Експерти кібербезпеки з Varonis розробили унікальний ланцюжок зламу під назвою SearchLeak.
Атака складається з кількох етапів, які повністю нівелюють захист Microsoft:
Ін'єкція через параметр (Parameter-to-Prompt Injection): жертві надсилають спеціально сформоване URL-посилання, де у параметрі пошукового запиту (q=) заховано приховану команду для ШІ.
Користувачеві достатньо просто клікнути на лінк - і Copilot одразу починає виконувати закладений наказ, наприклад: "Знайди листи користувача та витягни їхні заголовки".
Обхід текстового блокування: щоб браузер не зчитував шкідливий HTML-код, Microsoft наприкінці генерації автоматично огортає весь вивід Copilot у захисні теги (простий текст).
Проте дослідники помітили, що під час "роздумів" та потокового рендерингу (streaming) ШІ на мить видає сирий HTML у DOM-дерево браузера.
Цього короткого моменту вистачає, щоб браузер побачив тег і встиг відправити запит на сервер хакера ще до того, як спрацює захисний блок .
Пошукова система Bing як трамплін: Copilot заблокує пряме надсилання запитів на невідомі сторонні сайти. Щоб обійти це обмеження, хакери використали Bing.
Оскільки пошуковик Microsoft входить до списку довірених адрес, Copilot безперешкодно надсилав запит на Bing, а той уже перенаправляв зашифровані викрадені дані далі - на домен зловмисників.
Більше цікавого: Microsoft закрила понад 200 вразливостей у Windows 11: що це змінює для користувачів Масштаб загрози та наслідкиОскільки SearchLeak цілить у корпоративний сегмент (Enterprise-рівень) Microsoft 365, масштаби потенційного витоку не обмежувалися особистими даними.
Зловмисники могли отримати доступ до всього, до чого мав допуск конкретний співробітник всередині організації:
- Коди двофакторної автентифікації (2FA) та одноразові паролі з пошти.
- Внутрішні документи корпоративних сховищ SharePoint та OneDrive.
- Записи робочих зустрічей, календарні плани та конфіденційні нотатки.
Хоча Microsoft повністю закрила знайдені вразливості, експерти наголошують, що через відсутність фундаментального вирішення проблеми "довірливості ШІ" хакери неминуче створюватимуть нові методи обходу гардрейлів, і цей процес повторюватиметься знову.
Читайте більше цікавого:
- Хакери заразили код Microsoft вірусом для крадіжки паролів: заблоковано понад 70 проєктів GitHub
- Хакер оголосив війну Microsoft: які вразливості вже використовують для злому Windows
