Безопасный VPN через Телеграмм – обойди все блокировки:
|
Невидимые инструкции заставляют ИИ действовать против воли создателей.
Исследователь в области кибербезопасности обнаружил критическую уязвимость в интегрированном в Microsoft 365 ИИ-помощнике Copilot, которая позволяет злоумышленникам похищать конфиденциальные данные.
Эксплойт, предоставленный ранее в Центр реагирования на угрозы безопасности Microsoft (MSRC), сочетает в себе сразу несколько сложных методов, создавая значительные риски для безопасности данных и конфиденциальности. Уязвимость была выявлена в ходе исследования, опубликованного командой Embrace The Red.
Эксплойт представляет собой многоэтапную атаку. Она начинается с получения пользователем вредоносного письма или документа, содержащего скрытые инструкции. Когда эти инструкции обрабатываются Copilot, инструмент автоматически активируется и начинает искать дополнительные письма и документы, увеличивая масштаб атаки без вмешательства пользователя.
Ключевой элемент этого эксплойта — так называемый ASCII Smuggling. Эта техника использует специальные символы Unicode, чтобы сделать данные невидимыми для пользователя. Злоумышленники могут встраивать конфиденциальную информацию в гиперссылки, которые при нажатии отправляют данные на контролируемые ими серверы.
Купи VPN в России за минуту через наш Телеграмм-бот:
|
В ходе исследования была продемонстрирована ситуация, когда документ Word, содержащий специально разработанные инструкции, смог обмануть Microsoft Copilot и заставить его выполнять действия, характерные для мошеннической деятельности. Этот документ использовал методику «Prompt Injection», которая позволила внедрить в текст команды, воспринимаемые Copilot как легитимные запросы.
Когда Copilot обрабатывал этот документ, он начал выполнять указанные в нём действия, как если бы это были обычные команды пользователя. В результате, инструмент автоматически инициировал действия, которые могли привести к утечке конфиденциальной информации или к другим видам мошенничества, без какого-либо предупреждения для пользователя.
Последний этап атаки — это эксфильтрация данных. Контролируя Copilot и получив доступ к дополнительным данным, злоумышленники встраивают скрытую информацию в гиперссылки, которые затем отправляются на внешние серверы при нажатии пользователями.
Для снижения риска исследователь предложил Microsoft ряд мер, включая отключение интерпретации тегов Unicode и предотвращение отображения гиперссылок. Хотя Microsoft уже реализовала некоторые исправления, подробности этих мер остаются нераскрытыми, что вызывает обеспокоенность.
Реагирование компании на выявленную уязвимость было частично успешным: некоторые эксплойты больше не функционируют. Однако отсутствие детальной информации о применённых исправлениях оставляет вопросы о полной безопасности инструмента.
Этот случай подчёркивает сложность обеспечения безопасности в инструментах, управляемых ИИ, и необходимость дальнейшего сотрудничества и прозрачности для защиты от будущих угроз.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.
Почему стоит использовать платный VPN сервис?
- Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
- Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
- Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
