Így működött az adatlopás
A Varonis biztonsági kutatója, Dolev Taler szerint a folyamat megdöbbentően egyszerű: a Copilot felhasználója e-mailben megkap egy rosszindulatúan összeállított hivatkozást, rákattint, és ezzel a háttérben máris elindul a rejtett támadás. A hivatkozás egy speciális paraméterrel volt ellátva, amelyet a Copilot – és általában a nagy nyelvi modellek (LLM-ek) – arra használnak, hogy közvetlenül URL-t illesszenek a felhasználói utasításba. Ennek eredményeként a chatben lévő érzékeny adatok – például a név, tartózkodási hely, egyes események részletei – automatikusan továbbításra kerültek, még a chatablak bezárása után is.
Többlépcsős trükközés: semmi sem állíthatja meg
A támadás egy beépített álparancs segítségével működött, amely először kiszivárogtatott egy titkos értéket, majd egy rejtett .jpg formátumú állományban további parancsokat adott a Copilotnak. Így a támadó nemcsak egyetlen adatot, hanem a felhasználónevet, tartózkodási helyet, sőt több, a chatelőzményekben tárolt részletet is megszerzett. A folyamatot az tette különösen veszélyessé, hogy a beépített védelmi mechanizmusokat (védőkorlátokat, guardrailokat) könnyedén kikerülte: ezek ugyanis csak az első kérésre voltak érvényesek, de az MI-nek küldött utasítások azt eredményezték, hogy minden újabb kérésre is választ kellett adnia, védőkorlát nélkül.
A történet itt még nem ér véget
A Varonis jelentésében Reprompt néven írta le ezt az összetett támadássorozatot, amely rámutat, mennyire nehéz meghúzni a határt a felhasználó és a rosszindulatú tartalom között egy MI-chatben. Bár a Microsoft gyorsan javította a hibát, a Copilot Personal felhasználói legalábbis ezek után fellélegezhetnek – a Microsoft 365 Copilotot ez a sebezhetőség már nem érintette. A tanulság: egy bagatellnek tűnő kattintás is súlyos adatvédelmi incidenshez vezethet, ha nem megfelelő a biztonsági tervezés.
