[ALERT] Poważna luka w Microsoft 365 Copilot
[ALERT] Poważna luka w Microsoft 365 Copilot
Poważna luka w Microsoft 365 Copilot. Badacz bezpieczeństwa ujawnił lukę, która umożliwia hakerom kradzież e-maili.
Luka wykorzystuje integrację asystenta AI z dokumentami pakietu Office oraz wbudowaną obsługę diagramów
Mermaid. Umożliwia eksfiltrację danych bez bezpośredniej interakcji użytkownika, poza początkowym kliknięciem.
Atak rozpoczyna się, gdy użytkownik prosi M365 Copilot o podsumowanie złośliwie spreparowanego arkusza kalkulacyjnego Excel. Ukryte instrukcje osadzone w białym tekście na wielu arkuszach wykorzystują progresywną modyfikację zadań i zagnieżdżone polecenia, aby przejąć kontrolę nad zachowaniem sztucznej inteligencji. Te pośrednie monity zastępują zadanie podsumowania, kierując Copilota do wywołania narzędzia search_enterprise_emails w celu pobrania ostatnich firmowych wiadomości e-mail.
Ta podatność podkreśla rozszerzającą się powierzchnię ataku w miarę jak organizacje szybko wdrażają systemy AI. Według ostatnich badań ataki typu prompt injection stały się głównym zagrożeniem bezpieczeństwa dla aplikacji opartych na dużych modelach językowych. Open Worldwide Application Security Project (OWASP) umieszcza je jako podatność numer jeden wśród nowych zagrożeń dla aplikacji LLM.
Źródło: www.crn.pl
W razie dodatkowych pytań zapraszamy do kontaktu.
