Copilot осалдығы хакерлерге 2FA кодтарын ұрлауға мүмкіндік берді
Материал бірнеше дереккөз негізінде жасанды интеллектпен дайындалды — түпнұсқаларға сілтемелер төменде.

Microsoft Copilot-та SearchLeak деп аталатын сыни осалдық анықталды, ол шабуылдаушыларға пайдаланушылардың екі факторлы аутентификация кодтарын ұстап алуға мүмкіндік берді. Зиянкестер жасанды интеллекттің іздеу функциясын пайдаланып, қауіпсіздік шараларын айналып өткен. Дегенмен, Microsoft патч шығарғанымен, мәселенің түбегейлі шешілгені белгісіз.
SearchLeak эксплуаты
Ars Technica зерттеушілері Microsoft Copilot-та SearchLeak осалдығын тапты, ол жасанды интеллекттің интернеттен іздеу қабілетін пайдаланады. Арнайы сұраулар арқылы шабуылдаушылар Copilot-ты электрондық пошта немесе SMS арқылы жіберілген 2FA кодтарын ашуға мәжбүрлей алды. Эксплойт пайдаланушының әрекетін қажет етпейді, бұл оны ерекше қауіпті етеді.
Салаға әсері
Бұл қате үлкен тілдік модельдердің (LLM) интеграциясындағы қайталанатын қауіпсіздік ақауларын көрсетеді. Microsoft патч шығарды, бірақ оқиға нақты уақыттағы деректерге қол жеткізе алатын ЖИ жүйелерін қорғаудың күрделілігін көрсетеді. Ұқсас осалдықтар Google Bard және OpenAI ChatGPT сияқты басқа ЖИ көмекшілерінде де табылған. Microsoft барлық Copilot пайдаланушыларын бағдарламалық жасақтаманы дереу жаңартуға шақырады.
Бұдан әрі
Microsoft патчтың SearchLeak осалдығын толығымен жойғанын растауы керек. Алайда, патч осындай шабуылдарға мүмкіндік берген негізгі архитектуралық мәселелерді толығымен шеше ме, жоқ па, белгісіз.
1 дереккөз
Copilot осалдығы хакерлерге 2FA кодтарын ұрлауға мүмкіндік берді






