Wani sabon binciken tsaro ya sanya hankali kan Microsoft Copilot kuma, gabaɗaya, ga mataimakan leƙen asiri na wucin gadi waɗanda suka riga suka shiga rayuwar yau da kullun ta kasuwanci da daidaikun mutane. Masu bincike a Varonis Threat Labs sun bayyana hanyar kai hari, wacce aka yi wa lakabi da Reprompt, wanda ke da ikon satar bayanai daga tattaunawa da Copilot ta hanyar danna hanyar haɗi wacce, a kallon farko, halal ce gaba ɗaya.
Wannan mai kai harin ya yi amfani da wani rauni a yadda Copilot ya fassara wasu sigogin URLBa tare da buƙatar saukar da shirye-shiryen da ake zargi ko buɗe haɗe-haɗe ba, masu aikata laifukan yanar gizo za su iya samun cikakkun tattaunawa, takardun shaida, da takardu masu mahimmanci waɗanda ke da alaƙa da zaman mai amfani, koda kuwa an riga an rufe tattaunawar a cikin mai binciken.
Menene Reprompt kuma me yasa yake shafar Copilot?
Reprompt shine sunan da Varonis Threat Labs ya ba wa wani hari na musamman da aka tsara akan Microsoft CopilotMataimakiyar AI da kamfanin ya haɗa a cikin Bing, Edge, Windows, da sauran ayyukan girgije ya kasance mai rauni. Ba wai a matsayin wata matsala ta ka'ida ba, dabarar ta ba wa mai hari damar ɗaukar iko kan zaman Copilot na mai amfani da shi kuma ya fitar da bayanai a hankali.
Babban abin da ke cikin Reprompt shine amfani da umarnin ɓoye da aka saka a cikin hanyoyin haɗin yanar gizo marasa lahaniWaɗannan hanyoyin haɗin yanar gizon sun nuna zuwa ga shafukan yanar gizo na Microsoft na hukuma, kamar copilot.microsoft.com, don haka mai amfani ba shi da dalilin zargin wani abu. Da zarar shafin ya loda, Copilot ya fara aiwatar da umarnin mugunta da maharin ya ƙayyade a bango.
A cikin wannan yanayin, mataimakin AI ya zama wani nau'in tsaka-tsaki mara sani: Copilot ne da kansa ya tattara kuma ya aika bayanan zuwa sabar wajeBayan bin umarnin da maharin ya ɓoye a cikin URL ɗin, daga hangen mai amfani, komai ya bayyana a matsayin amfani da sabis ɗin na yau da kullun.
A cewar binciken masu binciken, wannan hanyar tana wakiltar tsalle mai inganci idan aka kwatanta da hare-haren gargajiya, domin Yana amfani da halayen ciki na samfurin AI da kuma amincewar da aka sanya a dandamali, maimakon kurakurai na gargajiya kamar shigar da malware akan na'urar.
Yadda harin ke aiki: rawar da sigar q ke takawa
Tushen fasaha na Reprompt ya ta'allaka ne akan gudanar da siga q a cikin URL na Microsoft CopilotAna amfani da wannan siga don ƙayyade tambayar da mai amfani zai gani lokacin buɗe shafin. Misali, idan ana shiga shafin http://copilot.microsoft.com/?q=HolaMataimakin zai karɓi saƙon "Sannu" ta atomatik da zarar ya loda.
Matsalar tana tasowa ne idan aka gabatar da wani abu, maimakon gaisuwa marar lahani. umarni mai rikitarwa da mugunta a cikin wannan siga qCopilot yana fassara abubuwan da ke cikin sigogi kamar saƙo ne da mutumin da ya ziyarci shafin ya aika, kuma yana sarrafa shi ba tare da mutumin ya rubuta wani abu ko ya yi wani ƙarin aiki ba.
Ta wannan hanyar, mai hari zai iya gina ingantaccen adireshin yanar gizo na Microsoft wanda ya haɗa da umarni kamar: tattara duk tattaunawar da aka yi kwanan nan, cire takardun shaida, ko taƙaita takardu da za a iya samu daga wannan asusun kuma aika su zuwa adireshin nesaMai amfani yana ganin cewa Copilot ya buɗe ne kawai, amma a zahiri mataimakin ya riga ya aiwatar da waɗannan umarni a bango.
Wannan dabarar ta dogara ne akan abin da aka sani da allura da gaggawaAllura umarnin ɓoye ko waɗanda aka tsara ta hanyar mugunta domin AI ta ɗauke su a matsayin buƙatun da suka dace. Ba kamar sauran shari'o'in da aka tattauna a dandamali kamar ChatGPT ko Perplexity ba, a cikin Reprompt, manufar ba wai kawai ita ce a sarrafa martanin da ake iya gani ba, har ma a cimma nasarar hakan. tace bayanai kai tsaye da atomatik zuwa sabar da mai aikata laifukan yanar gizo ke sarrafawa.
Amfani da sigar q a cikin URL, wanda da farko kallo ya zama kamar hanya mai dacewa don saita tambayoyi kafin lokaci, don haka ya zama wurin shiga daban don aiwatar da umarni na ba bisa ƙa'ida ba ba tare da tsarin ya bambanta su da ainihin buƙatun mai amfani ba.
Dannawa ɗaya don rasa ikon kula da zaman
Ɗaya daga cikin abubuwan da suka fi tayar da hankali game da Reprompt shine sauƙin sa. Abin da kawai ya rage shi ne wanda aka azabtar ya danna hanyar haɗin yanar gizo ta halal. domin fara harin. Babu wani saukewa, babu shigarwar tsawo na burauzar, kuma babu wani pop-up da ake zargi da zai iya tayar da hankali.
Lokacin da aka fara amfani da wannan hanyar haɗin yanar gizo, Copilot ya fara tattaunawa ta ɓoye da uwar garken maharinA wannan musayar, tsarin AI yana amsa buƙatun masu aikata laifukan yanar gizo: dawo da tattaunawa ta baya, cire rubutu mai mahimmanci, samun bayanai da suka shafi asusun, ko ma amfani da mahallin kamfanin don nemo bayanai masu mahimmanci.
Masu bincike a Varonis Threat Labs sun nuna cewa harin yana da wani abu mai tayar da hankali: Zai iya ci gaba da aiki koda bayan mai amfani ya rufe tagar hiraMuddin zaman mataimakin ya ci gaba da wanzuwa a ɓangaren sabar, Copilot ya ci gaba da amsa buƙatun da maharan suka shirya.
Daga mahangar aiki, wannan yana nufin cewa mai amfani zai iya yarda cewa komai ya ƙare lokacin da ya bar shafin, lokacin da a zahiri Har yanzu ana amfani da zaman a ɓoyeWannan juriyar tana rikitar da ganowa ta hanyar kayan aikin tsaro na gargajiya, waɗanda galibi ke mai da hankali kan abubuwan da ake iya gani ko ayyukan da ba su dace ba a kan na'urar abokin ciniki.
Idan kuma hakan bai wadatar ba. Jerin umarnin da aka ɓoye galibi sun zama kamar tallafi na yau da kullun ko ayyukan taimakoWannan yana sa bincike na zahiri ya fi wahala a gano cin zarafin. AI ta yi aiki kamar yadda ake tsammani daga mai taimaka mata mai himma, amma don biyan muradun maharin.
Bayanan da za a iya fallasa
Tsarin Reprompt ya wuce nuna ƴan rubuce-rubuce a cikin hira. A cewar Varonis, harin zai iya sauƙaƙe satar bayanai cikakkun tattaunawa da aka yi da CopilotWannan yana da matuƙar wahala musamman idan ana aiki da bayanai masu mahimmanci na kasuwanci ko bayanan sirri.
Daga cikin misalan da ake la'akari da su, kwararru sun ambaci yiwuwar samun sunayen masu amfani, kalmomin shiga, adiresoshin imel, da takardu na cikiA cikin yanayin kamfanoni na Turai inda aka haɗa Copilot da ɗakunan ofis da ayyukan girgije, wannan haɗin yana da mahimmanci musamman daga mahangar bin ƙa'idodi, gami da kariyar bayanai.
Domin yana gudana ne a cikin tunanin Copilot, fitar da ruwa Ba a nuna shi azaman ƙarin shirin aika fayiloli baamma a matsayin jerin martanin AI na yau da kullun ga sabar nesa. Wannan yana sa ya zama da matuƙar wahala ga software na riga-kafi, firewalls na gargajiya, ko wasu hanyoyin tsaro na kan na'ura su gano matsalar a ainihin lokaci.
Masu binciken sun nuna cewa, a aikace, Babu wani takamaiman iyaka ga yawan bayanai ko nau'in bayanai da za a iya yin barna a kansu.Komai ya dogara ne akan abin da mataimakin zai iya samu daga zaman mai amfani: imel, abubuwan da ke cikin takardu a cikin gajimare, taƙaitaccen bayani game da taro, ko duk wani albarkatu da aka ba wa Copilot izinin dubawa.
Wannan hanyar tana da tasiri na musamman ga ƙungiyoyi a Tarayyar Turai, inda amfani da mataimakan AI da ke da alaƙa da bayanan kamfanoni ke faɗaɗa cikin sauri: Irin wannan gazawar na iya haifar da faruwar zubar da bayanan sirri da GDPR ke karewa, tare da buƙatar sanar da hukumomin kula da harkokin kuɗi da kuma yiwuwar takunkumi.
Kalubale ga tsaron yanar gizo a zamanin AI
Reprompt wani ɓangare ne na wani yanayi mai faɗi: fitowar masu kai hari waɗanda aka tsara musamman akan tsarin leken asiri na wucin gadi da manyan samfuran harsheBa kamar aikace-aikacen gargajiya ba, waɗannan tsarin suna aiki tare da tattaunawa ta mahallin da jihohi da aka kiyaye akan sabar, wanda ke buɗe ƙofa ga sabbin nau'ikan cin zarafi.
Da farko, saman harin yana faɗaɗa. Ayyukan da ba su da lahani, kamar ƙayyade URL don shigar da tambaya kafin lodawaZa su iya zama wuraren shiga masu haɗari idan umarnin da suka isa samfurin ba a tabbatar da su sosai ba kuma an tace su.
Na biyu, da juriyar zaman AI a gefen sabar Wannan yana nufin cewa tasirin dannawa mara kyau na iya daɗewa akan lokaci. Ko da bayan mai amfani ya rufe burauzar ko ya canza ayyuka, sadarwa tsakanin mai sihiri da sabar maharin na iya ci gaba ba tare da ƙarin iko ba.
A ƙarshe, an tsara hanyoyin tsaro da yawa na yanzu don sa ido kan ayyukan da ake iya gani a na'urar mai amfaniDuk da haka, hulɗar cikin gida tsakanin sabis ɗin AI mai karɓar baƙi ta girgije da sauran tsarin nesa ba ta da wata matsala. A yanayin Reprompt, wani ɓangare mai yawa na harin an aiwatar da shi gaba ɗaya a cikin yanayin sabar, a wajen isa ga kariyar ƙarshen hanyar.
Wannan mahallin yana sa kamfanonin Turai da gwamnatocin gwamnati su sake tunani kan yadda za su haɗa mataimakan AI cikin ayyukansu na yau da kullun: Bai isa kawai a kunna kayan aikin ba; ya zama dole a tantance takamaiman haɗarin da ke tattare da tsarin sa. da kuma sarrafa bayanai masu mahimmanci a kowane yanayi na amfani.
Martanin Microsoft da kuma sakamakon da zai haifar ga masu amfani da kasuwanci
Bayan karɓar rahoton fasaha daga Varonis Threat Labs, Microsoft ya amince da raunin da ke cikin Copilot kuma ya fitar da facin tsaroA cewar masu binciken, an bayar da sanarwar ne a lokacin bazara na shekarar 2025 kuma an aiwatar da gyaran a farkon shekarar 2026, wanda hakan ya rufe hanyar da Reprompt ke amfani da ita.
Kamfanin ya daidaita yadda sabis ɗin ke sarrafa sigogin q da sauran vectors makamantansu, don haka Ba za a iya aiwatar da umarnin da aka saka a cikin hanyoyin haɗin kai ta atomatik ba tare da ƙarin sarrafawa baManufar ita ce hana danna hanyar haɗi mai inganci kawai sake buɗe ƙofar zuwa fitar da bayanai.
Duk da gyaran, masana tsaro sun nuna cewa Matsalar da ke ƙasa ba ta takaita ga Copilot ko mai bada sabis ɗaya ba.Duk wani mataimaki na AI wanda ya karɓi shigarwa ta hanyar sigogin yanar gizo ko hanyoyin haɗin yanar gizo da za a iya rabawa zai iya fuskantar hare-hare da aka yi wahayi zuwa gare su ta wannan ra'ayin idan ba a sake duba matakan tabbatarwa da tacewa sosai ba.
Ga kamfanoni da ƙungiyoyi na Turai waɗanda suka riga sun yi amfani da kayan aikin AI a cikin ayyukansu, wannan shari'ar ta zama gargaɗi: ana ba da shawara Yi bitar manufofin amfani da hanyoyin haɗi, izinin asusu, da kuma iyakokin bayanai da mahalarta za su iya samu.Akwai kuma buƙatar ƙara yawan bincike kan tsaro na AI, fiye da tsarin kula da tsaron yanar gizo na gargajiya.
Daga mahangar mai amfani, Reprompt yana tunatar da mu muhimmancin kiyaye taka tsantsan koda lokacin da hanyar haɗi ta kai ga wani yanki da aka sani. Kawai saboda adireshin gidan yanar gizo na halal ne ba ya tabbatar da cewa abin da zai biyo baya ba zai zama mara lahani ba.musamman idan tsarin da ke sarrafa umarni ta atomatik, kamar mataimakan tattaunawa, suna da hannu.
A yau, an gyara matsalar kuma Copilot ya haɗa da ƙarin kariya, amma lamarin ya bayyana abu ɗaya a sarari: Mataimakan AI sun zama babban ɓangare na kayayyakin more rayuwa na dijital Kuma, saboda haka, su ma su ne manyan abubuwan da masu aikata laifuka ta yanar gizo ke sa ido a kai, wanda hakan ke buƙatar ɗaga matsayin ƙira mai aminci da kuma ci gaba da sa ido.