Microsoft е отстранила критична уязвимост в Copilot Enterprise, която е позволявала на атакуващи да извличат чувствителни данни от потребители и организации чрез един единствен клик върху злонамерен линк.

Проблемът е открит от експерти по киберсигурност от компанията Varonis. Изследователите описват уязвимостта като механизъм, който може да превърне чатбота в "оръжие за извличане на данни с едно кликване".

Според Microsoft проблемът е бил класифициран с най-високата степен на критичност. Компанията вече е приложила необходимите корекции.

Случаят идва само седмици след друг инцидент, при който AI асистент на Meta е позволявал промяна на имейл адреси към профили в Instagram. Това е давало възможност на атакуващи да заобикалят двуфакторната защита и да поемат контрол над чужди акаунти.

При Copilot Enterprise атаката е била сравнително проста. Според Varonis нападателят е трябвало единствено да създаде специално подготвен интернет адрес и да убеди жертвата да отвори линка.

"За извличането на данните атакуващият създава URL адрес, който инструктира Copilot да претърси имейлите на потребителя, да извлече заглавието им и да го вгради в адрес на изображение", обясняват изследователите.

"Жертвата не въвежда нищо. Тя просто отваря линк, а Copilot върши останалото."

Причината атаката да бъде толкова опасна е начинът, по който Copilot Enterprise работи в корпоративна среда. Системата има достъп до голяма част от ресурсите, до които разполага и самият потребител.

"Тъй като Copilot Enterprise работи с пълните права на потребителя в организационната среда, атакуващият на практика наследява неговия достъп до фирмените данни, без да се удостоверява", предупреждават от Varonis.

Това е можело да осигури достъп до вътрешна кореспонденция, покани за срещи, бележки и друга поверителна информация. В определени случаи нападателите са могли да получат данни, използвани при двуфакторна или многофакторна идентификация.

Уязвимостта използва техника, наречена Parameter-to-Prompt Injection (P2P). Тя е разновидност на добре познатите атаки тип Prompt Injection, при които големите езикови модели се подвеждат да изпълняват инструкции, различни от първоначално зададените.

При този сценарий злонамерената инструкция не се съдържа директно в текста към чатбота, а е скрита в параметри, които определят начина на обработка на заявката.

Изследователите са използвали и услугата Bing като част от атаката. Злонамерените команди са били вградени в адреси от домейна на търсачката. Тъй като Bing е собствена услуга на Microsoft, домейнът е бил включен в списъка с доверени източници.

Според Varonis потенциалният мащаб на проблема е особено сериозен за корпоративните клиенти.

"Тъй като атаката е насочена към корпоративната версия на Microsoft, последствията не се ограничават до лични данни. Тя може да разкрие всичко, до което потребителят има достъп в организацията, включително имейли, покани за срещи и бележки."

Случаят е поредното напомняне за рисковете, които съпътстват интеграцията на генеративен изкуствен интелект в корпоративните системи. Макар подобни инструменти да повишават продуктивността, те създават и нови възможности за атаки, които традиционните механизми за защита невинаги успяват да засекат навреме.