لم تتم ترجمة هذا المقال إلى العربية بعد — يُعرض النص الأصلي بالروسية.
Ars Technica→ المصدر

ثغرة في Microsoft Copilot سمحت بسرقة رموز المصادقة الثنائية

كشف الباحثون عن ثغرة حرجة في Microsoft Copilot: سمح استغلال SearchLeak للمهاجمين بسرقة رموز المصادقة الثنائية مباشرة من بريد الضحايا الإلكتروني. كانت آلية…

معالج بواسطة الذكاء الاصطناعي من Ars Technica؛ بتحرير Hamidun News
ثغرة في Microsoft Copilot سمحت بسرقة رموز المصادقة الثنائية
المصدر: Ars Technica. كولاج: Hamidun News.
◐ استمع للمقال

Исследователи безопасности раскрыли критическую уязвимость в Microsoft Copilot под названием SearchLeak: злоумышленники могли незаметно похищать одноразовые коды двухфакторной аутентификации прямо из электронной почты жертвы — без каких-либо явных признаков взлома и без участия самого пользователя.

Как работал эксплойт В основе атаки — prompt injection, один из

наиболее изученных, но так и не решённых классов угроз для LLM-систем. Механика проста и потому особенно опасна: злоумышленник отправляет жертве обычное с виду письмо, внутри которого спрятаны вредоносные инструкции — замаскированные под текст или HTML-контент. Когда Microsoft Copilot обрабатывает это письмо в рамках своих привычных задач — суммаризирует входящие, отвечает на запрос пользователя или просто обновляет индекс почты — встроенные инструкции перехватывают управление над ассистентом.

Дальше всё работает против жертвы: Copilot, имея полный доступ к экосистеме Microsoft 365 — почта, OneDrive, Teams, календарь, — по команде из вредоносного письма выполнял целевой поиск по запросам вроде «код подтверждения», «verification code» или «OTP». Найденные сообщения — как правило, письма от банков, корпоративных систем или онлайн-сервисов с действующими одноразовыми паролями — передавались атакующему через заранее подготовленный канал exfiltration. Именно за этот механизм атака получила название SearchLeak: утечка через поиск.

Всё происходит незаметно — Copilot ведёт себя как обычно, никаких предупреждений нет.

Почему это повторяется снова

SearchLeak не первый подобный случай с LLM-продуктами, интегрированными в рабочие среды. Проблема не в конкретной ошибке разработчиков Microsoft — проблема архитектурная: LLM получает неограниченный доступ к данным пользователя без строгой изоляции и без разграничения «свой» контент и «чужой». Ключевые уязвимые точки, которые эксплуатирует этот класс атак: LLM обрабатывает недоверенный контент — письма, документы от третьих лиц — с теми же привилегиями, что и инструкции владельца аккаунта Поиск и суммаризация предоставляют модели широкий доступ к персональным и корпоративным данным Механизмы exfiltration — формирование внешних URL, скрытые HTTP-запросы — нередко не фильтруются системой Нет строгого разграничения между «доверенной инструкцией пользователя» и «контентом, пришедшим из внешнего источника» Схожие уязвимости уже фиксировали в ChatGPT Plugins, Google Gemini for Workspace и других AI-ассистентах с расширенным доступом к данным.

Паттерн один и тот же: чем шире интеграция — тем больше поверхность атаки.

Позиция

Microsoft По данным Ars Technica, исследователи раскрыли уязвимость Microsoft через процедуру coordinated disclosure — до публикации статьи. Компания выпустила патч, однако технические детали защитных мер остались закрытыми.

«SearchLeak наглядно показывает: нельзя давать LLM доступ к чувствительным данным без строгих sandbox-ограничений», — подчёркивают авторы исследования.

Microsoft позиционирует Copilot именно за счёт его глубокой интеграции с почтой, Teams, файлами и календарём — это основное ценностное предложение продукта. И оно же создаёт структурный риск: отказаться от интеграции нельзя без потери смысла продукта, выстроить изоляцию — сложно, но необходимо.

Что это значит

Пока AI-ассистенты получают всё более широкий доступ к корпоративным данным, атаки класса prompt injection будут повторяться — это не баг конкретного продукта, а структурная проблема всей отрасли. Корпоративным пользователям стоит пересмотреть уровень доступа Copilot к почте и чувствительным данным, а разработчикам AI-продуктов — всерьёз заняться стандартом изоляции LLM от внешнего недоверенного контента.

ZK
Hamidun News
أخبار الذكاء الاصطناعي بدون ضوضاء. اختيار تحريري يومي من أكثر من 400 مصدر. منتج من جمال حميدون، رئيس الذكاء الاصطناعي في Alpina Digital.

هل تحتاج إلى ذكاء اصطناعي يعمل داخل شركتك — وليس فقط في موجز الأخبار؟

أبني ذكاءً اصطناعياً جاهزاً للإنتاج للشركات — أنظمة CRM مخصّصة، أدوات داخلية، وكلاء مستقلون، أتمتة سير العمل. ملك لك، مصمّم وفق عمليتك، دون رسوم لكل مستخدم. من إعداد جمال خميدون، مدير المنتجات في AlpinaGPT (منصة ذكاء اصطناعي، أكثر من 6000 مستخدم).

ما رأيك؟
جارٍ تحميل التعليقات…