Уязвимость в Microsoft 365 Copilot: обнаружена и устранена

В Microsoft 365 Copilot обнаружили уязвимость, позволяющую злоумышленникам получать доступ к корпоративным данным без ведома пользователей. Проблема, выявленная экспертами по кибербезопасности Aim Security, уже устранена, но сам факт её существования вызывает вопросы.

Достаточно было отправить специально сформированное письмо в Outlook. Встроенный ИИ-ассистент автоматически анализировал его содержимое, после чего выполнял скрытую команду на сбор информации. Никаких действий со стороны сотрудника не требовалось.

Особую опасность представляли компании, где Copilot имел доступ к обширным базам данных. В теории, злоумышленники могли получить конфиденциальные сведения о бизнес-процессах и даже персональные данные сотрудников.

Ответ Microsoft

Компания утверждает, что успела закрыть брешь до того, как ею воспользовались. Однако эксперты предупреждают: подобные атаки могут быть применены и к другим генеративным ИИ. Остаётся надеяться, что разработчики учтут этот опыт при проектировании будущих систем.

Главный урок — даже самые продвинутые технологии нуждаются в тщательной проверке на безопасность. Особенно когда речь идёт о корпоративных данных.