Az MI veszélyesebb, mint hinnéd: egy kattintás, és viszik az adataid

Egy lényeges szempont, hogy a Microsoft Copilot MI-asszisztensét nemrég olyan apró, ám súlyos sebezhetőség érintette, amely lehetővé tette, hogy támadók egyetlen, látszólag ártalmatlan hivatkozással felhasználói adatokat lopjanak el. A támadást biztonsági kutatók – nem valódi kiberbűnözők – tárták fel, akik bemutatták, hogyan indíthat el akár egyetlen kattintás is teljes körű adatlopást. Még akkor is, ha a felhasználó szinte azonnal bezárja az MI-chatet, a támadás gond nélkül továbbfut, az áldozat részéről pedig semmilyen további interakció nem szükséges.

Így működött az adatlopás

A Varonis biztonsági kutatója, Dolev Taler szerint a folyamat megdöbbentően egyszerű: a Copilot felhasználója e-mailben megkap egy rosszindulatúan összeállított hivatkozást, rákattint, és ezzel a háttérben máris elindul a rejtett támadás. A hivatkozás egy speciális paraméterrel volt ellátva, amelyet a Copilot – és általában a nagy nyelvi modellek (LLM-ek) – arra használnak, hogy közvetlenül URL-t illesszenek a felhasználói utasításba. Ennek eredményeként a chatben lévő érzékeny adatok – például a név, tartózkodási hely, egyes események részletei – automatikusan továbbításra kerültek, még a chatablak bezárása után is.

Többlépcsős trükközés: semmi sem állíthatja meg

A támadás egy beépített álparancs segítségével működött, amely először kiszivárogtatott egy titkos értéket, majd egy rejtett .jpg formátumú állományban további parancsokat adott a Copilotnak. Így a támadó nemcsak egyetlen adatot, hanem a felhasználónevet, tartózkodási helyet, sőt több, a chatelőzményekben tárolt részletet is megszerzett. A folyamatot az tette különösen veszélyessé, hogy a beépített védelmi mechanizmusokat (védőkorlátokat, guardrailokat) könnyedén kikerülte: ezek ugyanis csak az első kérésre voltak érvényesek, de az MI-nek küldött utasítások azt eredményezték, hogy minden újabb kérésre is választ kellett adnia, védőkorlát nélkül.

A történet itt még nem ér véget

A Varonis jelentésében Reprompt néven írta le ezt az összetett támadássorozatot, amely rámutat, mennyire nehéz meghúzni a határt a felhasználó és a rosszindulatú tartalom között egy MI-chatben. Bár a Microsoft gyorsan javította a hibát, a Copilot Personal felhasználói legalábbis ezek után fellélegezhetnek – a Microsoft 365 Copilotot ez a sebezhetőség már nem érintette. A tanulság: egy bagatellnek tűnő kattintás is súlyos adatvédelmi incidenshez vezethet, ha nem megfelelő a biztonsági tervezés.

2025, adminboss, arstechnica.com alapján