Microsoft 365 Copilot, uz uzņēmumu orientēts mākslīgā intelekta (AI) tērzēšanas robots, kas darbojas visās biroja lietotnēs, tika ziņots, ka bija neaizsargāts pret nulles klikšķi ievainojamību. Saskaņā ar kiberdrošības firmu tērzētavā pastāvēja kļūda, ko varētu izraisīt, izmantojot vienkāršu teksta e -pastu, lai tajā iekļūtu. Kad tērzēšanas robots tika uzlauzts, to varēja padarīt, lai iegūtu sensitīvu informāciju no lietotāja ierīces un koplietotu to ar uzbrucēju. Proti, Redmondā bāzētais tehnoloģiju gigants sacīja, ka tas ir novērsis ievainojamību un ka tas nav ietekmējis nevienu lietotāju.
Pētnieki atrod nulles klikšķu neaizsargātību kopilotā
A emuāra ierakstsAI Safety Startup AIM Drošība sīki aprakstīja nulles klikšķu izmantošanu un to, kā pētnieki to varēja izpildīt. Proti, nulles klikšķa uzbrukums attiecas uz uzlaušanas mēģinājumiem, kad upurim nav jālejupielādē fails vai jānoklikšķina uz URL, lai uzbrukums tiktu iedarbināts. Vienkāršs akts, piemēram, e -pasta atvēršana, var sākt uzlaušanas mēģinājumu.
Kiberdrošības firmas atklājumi izceļ AI tērzēšanas robotu radītos riskus, it īpaši, ja tiem ir aģentu spējas, kas attiecas uz AI tērzēšanas robota spēju piekļūt rīkiem, lai veiktu darbības. Piemēram, Copilot, kas spēj izveidot savienojumu ar OneDrive un iegūt datus no tur saglabātā faila, lai atbildētu uz lietotāja vaicājumu, tiktu uzskatīts par aģenta darbību.
Saskaņā ar pētniekiem uzbrukums tika uzsākts, izmantojot savstarpējas veicināšanas injekcijas uzbrukuma (XPIA) klasifikatorus. Šis ir tūlītējas injekcijas veids, kad uzbrucējs manipulē ar ievadi vairākās uzvednēs, sesijās vai ziņojumos, lai ietekmētu vai kontrolētu AI sistēmas izturēšanos. Ļaunprātīgais ziņojums bieži tiek pievienots, izmantojot pievienotos failus, slēptu vai neredzamu tekstu vai iegultas instrukcijas.
Pētnieki pa e -pastu dalījās ar XPIA apvedceļu. Tomēr viņi arī parādīja, ka to pašu var izdarīt, izmantojot attēlu (ieskauj ļaunprātīgu instrukciju ALAT tekstā), un pat izmantojot Microsoft komandu, izsekojot A SaT pieprasījumu par ļaunprātīgu URL. Lai gan pirmajām divām metodēm joprojām ir nepieciešams lietotājam jautāt vaicājumam par e -pastu vai attēlu, pēdējais neprasa lietotājiem veikt kādas īpašas darbības, lai sāktu uzlaušanas mēģinājumu.
“Uzbrukuma rezultāts ir tas, ka uzbrucējs ļauj izcelt visjutīgākos datus no pašreizējā LLM konteksta-un LLM tiek izmantots pret sevi, lai pārliecinātos, ka visjutīgākie dati no LLM konteksta tiek noplūduši, nepaļaujas uz konkrētu lietotāja uzvedību, un to var izpildīt gan vienas pagrieziena sarunās, gan vairāku apgriezienu sarunās,” pievienots ziņojums.
Proti, Microsoft pārstāvis atzina neaizsargātību un pateicās mērķim par šo jautājumu identificēšanu un ziņošanu ziņotApvidū Tagad šī problēma ir novērsta, un to neietekmēja neviena lietotāja, pārstāvis sacīja publikācijai.
