Souhrn
Bezpečnostní výzkumníci z firmy Varonis odhalili zranitelnost v Microsoft Copilot nazvanou Reprompt, která umožňuje útočníkům převzít aktivní relaci AI asistenta a vyloučit data z uživatelova Microsoft účtu pouhým kliknutím na škodlivý odkaz. Tento útok probíhá na pozadí bez viditelných změn na obrazovce. Copilot, propojený s účtem, tak může nechtěně zpracovat skryté instrukce a odeslat citlivé informace.
Klíčové body
- Útok Reprompt využívá speciálně vytvořený odkaz, který obsahuje skryté instrukce pro Copilot.
- Copilot automaticky zpracovává tyto instrukce v aktivní relaci spojené s uživatelovým Microsoft účtem.
- Výzkumníci z Varonis, firmy specializující se na ochranu dat, ukázali, jak lze obejít ochranné mechanismy AI.
- Žádné instalace není potřeba, stačí kliknutí na odkaz z e-mailu nebo zprávy.
- Doporučení: Nepřecházejte podezřelé odkazy a sledujte aktualizace od Microsoftu.
Podrobnosti
Microsoft Copilot je AI asistent integrovaný do produktů společnosti Microsoft, jako jsou webové prohlížeče Edge, aplikace Office nebo Windows. Slouží k psaní e-mailů, shrnutí dokumentů, odpovídání na otázky a práci s daty z uživatelova účtu. Jeho síla spočívá v propojení s Microsoft účtem, díky čemuž má přístup k minulým konverzacím, souborům a osobním údajům. Nicméně právě toto propojení se stalo slabinou.
Výzkumníci z Varonis, americké firmy zaměřené na detekci a ochranu citlivých dat v cloudu a enterprise prostředích, objevili metodu Reprompt. Tato technika umožňuje útočníkům vložit do běžně vypadajícího odkazu na Copilot skryté instrukce. Když uživatel klikne na takový odkaz – například z e-mailu nebo chatu –, Copilot jej otevře v aktivní relaci a bez dalšího potvrzení zpracuje příkazy. Ty mohou zahrnovat vyhledání specifických dat, jako jsou konverzace, přílohy nebo metadata z účtu, a jejich odeslání útočníkovi.
Ochranné mechanismy Copilotu, jako filtry proti úniku citlivých informací, Reprompt obchází tím, že simuluje legitimní požadavek. Útok nevyžaduje instalaci malware, protože využívá důvěryhodnou relaci uživatele. Varonis demonstrovali scénář, kde útočník pošle odkaz předstírající sdílení dokumentu; po kliknutí Copilot na pozadí extrahuje data. Microsoft zatím oficiálně nereagoval, ale podobné zranitelnosti v AI nástrojích, jako prompt injection útoky, ukazují na systémové riziko velkých jazykových modelů (LLM), které zpracovávají kontext bez dostatečné validace.
Pro uživatele to znamená, že i v korporátním prostředí, kde Copilot zpracovává firemní data, hrozí únik. Doporučuje se používat Copilot v izolovaném okně, ověřovat zdroje odkazů a aktivovat dvoufázové ověřování účtu. Varonis navrhuje i lepší sandboxing relací AI.
Proč je to důležité
Tento objev podtrhuje rostoucí rizika v AI asistentech propojených s uživatelskými účty, kde miliardy uživatelů Microsoftu jsou potenciálními cíli. V širším kontextu posiluje debatu o bezpečnosti LLM, kde prompt injection a podobné techniky ohrožují enterprise nasazení. Pro průmysl to znamená nutnost revize guardrails v AI, jako jsou pokročilé filtry kontextu nebo oddělené relace. Pokud Microsoft neopraví tuto slabinu rychle, může to vést k masivním únikům dat, podobně jako u minulých zranitelností v ChatGPT nebo Gemini. Jako expert na AI vidím zde potřebu standardizovaných bezpečnostních protokolů pro všechny komerční AI nástroje.
Zdroj: 📰 Fox News
