Güvenlik Araştırmacıları, Microsoft Copilot Üzerinden Hassas Veri Çıkarma Yöntemini Ortaya Koydu
Güvenlik araştırmacıları, saldırganların hassas kullanıcı verilerini çıkarmasına olanak tanıyabilecek Microsoft Copilot'ta önemli bir güvenlik açığı tespit etti. Açıktan yararlanan, Copilot'un Bing ile entegrasyonundan yararlanarak yapay zeka sohbet botunu normalde koruması gereken bilgileri sızdırmaya manipüle ediyor.
Saldırı, yapay zeka sistemlerinin dikkatle hazırlanmış istemlerle nasıl kandırılabileceğini gösteriyor — bu teknik yaygın olarak "prompt injection" (istek enjeksiyonu) olarak adlandırılıyor. Bu durumda, araştırmacılar iki faktörlü kimlik doğrulama kodları ve hassas e-postaların içerikleri dahil verilere erişmek için Copilot'un arama işlevselliğinden yararlanmanın bir yolunu buldu.
Bu keşif, harici hizmetlere ve arama motorlarına bağlanan yapay zeka asistanlarının güvenliği konusundaki devam eden endişeleri vurguluyor. Microsoft muhtemelen güvenlik açığından haberdar edilmiş olsa da, herhangi bir yama veya düzeltme hakkındaki detaylar henüz kamuoyuna açıklanmadı.
Bu olay, yapay zeka sistemleri günlük iş akışlarına daha fazla entegre oldukça saldırı yüzeylerinin de buna paralel olarak genişlediğinin hatırlatıcısı niteliğinde. Kullanıcılar ve kuruluşlar, özellikle internet veya arama bağlantısı olan yapay zeka asistanlarıyla paylaştıkları hassas bilgiler konusunda dikkatli olmaya devam etmelidir.