Ошибка Microsoft заставила Copilot доверять хакерам: как это произошло
Microsoft выпустила экстренное обновление безопасности для устранения критической уязвимости с максимальным уровнем угрозы в своей корпоративной ИИ-платформе M365 Copilot. Эксплойт позволял злоумышленникам незаметно похищать конфиденциальную информацию пользователей с помощью всего одного клика.
Об этом сообщает РБК-Украина со ссылкой на Ars Technica.
ИИ "доверяет", и в этом заключается проблема
Главная проблема Copilot и других современных LLM-моделей заключается в том, что алгоритмы на фундаментальном уровне неспособны отличить легитимные инструкции пользователя от вредоносных команд, спрятанных в стороннем контенте (письмах, документах или сайтах, которые ИИ анализирует или реферирует).
Из-за этой архитектурной особенности разработчикам приходится создавать сложные внешние барьеры (гардрелы), которые хакеры регулярно учатся обходить.
Один из таких барьеров в Copilot запрещает ИИ самостоятельно отправлять электронные письма или заполнять веб-формы, чтобы предотвратить утечку данных. Однако злоумышленники придумали способ упаковывать украденную информацию внутрь стандартных HTML-тегов, например, в адрес изображения.
Когда браузер пытается отобразить такую картинку, он автоматически отправляет HTTP-запрос на сервер хакера, оставляя секретные данные в системных логах.
Как работала атака SearchLeak?
Эксперты по кибербезопасности из Varonis разработали уникальную цепочку взлома под названием SearchLeak.
Атака состоит из нескольких этапов, которыеполностью нивелируют защиту Microsoft:
Инъекция через параметр (Parameter-to-Prompt Injection): жертве отправляют специально сформированную URL-ссылку, где в параметре поискового запроса (q=) спрятана скрытая команда для ИИ.
Пользователю достаточно просто щелкнуть по ссылке - и Copilot сразу же начинает выполнять заложенный приказ, например: "Найди письма пользователя и извлеки их заголовки".
Обход текстовой блокировки: чтобы браузер не считывал вредоносный HTML-код, Microsoft в конце генерации автоматически оборачивает весь вывод Copilot в защитные теги (простой текст).
Однако исследователи заметили, что во время "размышлений" и потокового рендеринга (streaming) ИИ на мгновение выдает необработанный HTML в DOM-дерево браузера.
Этого короткого момента достаточно, чтобы браузер увидел тег и успел отправить запрос на сервер хакера ещё до того, как сработает защитный блок.
Поисковая система Bing как трамплин: Copilot блокирует прямую отправку запросов на неизвестные сторонние сайты. Чтобы обойти это ограничение, хакеры использовали Bing.
Поскольку поисковик Microsoft входит в список доверенных адресов, Copilot беспрепятственно отправлял запрос на Bing, а тот уже перенаправлял зашифрованные похищенные данные дальше - на домен злоумышленников.
Масштаб угрозы и последствия
Поскольку SearchLeak нацелен на корпоративный сегмент (уровень Enterprise) Microsoft 365, масштабы потенциальной утечки не ограничивались личными данными.
Злоумышленники могли получить доступ ко всему, к чему имел доступ конкретный сотрудник внутри организации:
- Коды двухфакторной аутентификации (2FA) и одноразовые пароли из почты.
- Внутренние документы корпоративных хранилищ SharePoint и OneDrive.
- Записи рабочих встреч, календарные планы и конфиденциальные заметки.
Хотя Microsoft полностью устранила обнаруженные уязвимости, эксперты отмечают, что из-за отсутствия фундаментального решения проблемы «доверия к ИИ» хакеры неизбежно будут разрабатывать новые методы обхода защитных барьеров, и этот процесс будет повторяться снова и снова.