Аналіз виявленої безпековою компанією Varonis критичної вразливості у Microsoft 365 Copilot, що отримала назву SearchLeak, розкриває тривожну тенденцію у сфері кібербезпеки – потенційну нездатність сучасних ШІ-систем розрізняти легітимні команди користувача від шкідливих інструкцій, прихованих у сторонньому тексті. Ця вразливість, описана як “ін’єкція параметрів у підказку” (Parameter-to-Prompt Injection), створювала реальну загрозу викрадення конфіденційних корпоративних даних, зокрема кодів двофакторної автентифікації, електронних листів та файлів SharePoint, шляхом переходу зловмисником лише за одним посиланням.
Технічні деталі атаки SearchLeak
Механізм експлуатації
- Атака базувалася на ланцюжку prompt-ін’єкцій та “гонці” під час рендерингу, що дозволяло ШІ непомітно витягувати чутливі дані.
- Зловмисник створював спеціальний пошуковий URL Microsoft 365 Copilot, інтегруючи в поле запиту шкідливі інструкції, які Copilot сприймав як прямий наказ.
- ШІ отримував команду сканувати поштову скриньку жертви, збирати назви листів, коди автентифікації та інші конфіденційні дані, а потім приховано вшивати їх у тег зображення.
Обхід захисних механізмів
Цікаво, що атака ефективно обходила стандартні протифішингові фільтри сервісу, оскільки використовувала повністю легітимне посилання на довірений домен Microsoft. Після переходу за таким URL, Copilot успадковував права доступу жертви і запускав збір даних у фоновому режимі.
“Проблема була пов’язана з типовою слабкістю споживчих та корпоративних ШІ‑продуктів, які погано відрізняють легітимні команди користувача від шкідливих інструкцій, захованих у сторонньому тексті.”
Недоліки системи безпеки Microsoft
Дослідники Varonis виявили дві критичні прогалини в системі захисту Microsoft, яка забороняє Copilot надсилати веб-запити на неперевірені домени:
- Умова “гонки” під час рендерингу призводила до того, що браузер починав відображати потік відповідей Copilot у реальному часі ще до завершення роботи скрипта очищення. Це дозволяло шкідливому вмісту прослизнути до того, як код безпеки встигав його очистити.
- Copilot, довіряючи за замовчуванням іншим сервісам Microsoft, зокрема Bing, використовував посилання “Пошук за зображенням” для передачі викрадених даних. Bing, завантажуючи це зображення, передавав інформацію до логів сервера зловмисника.
Високі ставки для корпоративних клієнтів
Для корпоративних клієнтів наслідки такої атаки могли бути надзвичайно серйозними. Автоматизований аналіз журналів атакувального сервера міг би дозволити зловмисникам миттєво виділяти активні коди багатофакторної автентифікації або посилання для скидання пароля, що призводило б до перехоплення облікових записів ще до того, як компанія помітить підозрілу активність. Також під загрозою опинялися бізнес-файли, індексовані в OneDrive та SharePoint, що були підключені до середовища M365.
Оперативне реагування Microsoft
Після отримання детального звіту від Varonis, Microsoft оперативно впровадила необхідні виправлення на рівні хмарної інфраструктури. Оскільки Copilot Enterprise функціонує як керована служба, для клієнтів не виникла необхідність встановлювати будь-які оновлення чи вносити зміни до локальних налаштувань – захист було відновлено автоматично.
Подальші виклики для ШІ-безпеки
Цей інцидент підкреслює нагальну потребу в розробці більш надійних механізмів безпеки для ШІ-систем, які б могли надійно відрізняти безпечні команди від потенційно шкідливих. З огляду на швидкий розвиток ШІ та його інтеграцію у бізнес-процеси, забезпечення його безпеки стає одним із ключових пріоритетів для всіх учасників ринку.
