ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

Very satisfied Satisfied Neutral Dissatisfied Very dissatisfied
واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

در جریان تغییرات صنعت فناوری بمانید!

جدیدترین اخبار و روندهای دنیای فناوری را با نگاهی دقیق و حرفه‌ای، در کانال تلگرام دیجیاتو دنبال کنید.

ورود به کانال تلگرام دیجیاتو
امنیت

آسیب‌پذیری خطرناک کوپایلوت: سرقت کدهای تأیید دومرحله‌ای با هک هوش مصنوعی مایکروسافت

آسیب‌پذیری خطرناکی در کوپایلوت به هکرها اجازه می‌داد تا کدهای تأیید دو مرحله‌ای و ایمیل‌های کاربران را سرقت کنند.

آزاد کبیری
نوشته شده توسط آزاد کبیری تاریخ انتشار: ۲۷ خرداد ۱۴۰۵ | ۲۰:۳۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو

ویدئوی مرتبط

بیل گیتس
تکنولوژی گزارش ویدیویی: ده نکته جالب درمورد بیل گیتس که باید بدانید

مایکروسافت به‌تازگی مجبور شد یک آسیب‌پذیری بسیار خطرناک و بحرانی را در پلتفرم هوش مصنوعی سازمانی خود اصلاح کند. محققان امنیت سایبری نشان دادند که چگونه هکرها می‌توانند با ترفندی پیچیده، دستیار هوش مصنوعی کوپایلوت را فریب ‌دهند و کدهای حساس تأیید دومرحله‌ای و سایر اطلاعات مهم کاربران را به سرقت ببرند.

این نقص امنیتی که توسط محققان شرکت امنیت سایبری Varonis کشف شده است، به هکرها امکان می‌دهد تا هوش مصنوعی سازمانی مایکروسافت را به سلاحی برای استخراج اطلاعات تبدیل کنند.

این حمله که SearchLeak نام‌گذاری شده است، نسخه سازمانی کوپایلوت را هدف قرار می‌دهد. از آنجا که این نسخه به تمام داده‌های داخلی یک سازمان دسترسی دارد، شعاع تخریب آن بسیار گسترده است. مهاجمان با این حفره امنیتی می‌توانند به ایمیل‌ها، کدهای تأیید دومرحله‌ای، دعوت‌نامه‌های جلسات، اسناد موجود در SharePoint، فایل‌های OneDrive و هر محتوای دیگری که کاربر به آن‌ها دسترسی دارد، نفوذ کنند. اگر این دستیار هوشمند به بخش‌های عمیق‌تری از شبکه متصل باشد، ابعاد فاجعه حتی بیشتر از این موارد خواهد بود.

هک هوش مصنوعی کوپایلوت سازمانی مایکروسافت

مایکروسافت برای جلوگیری از ارسال داده‌ها توسط هوش مصنوعی به سرور هکرها، موانع امنیتی متعددی را در سیستم خود تعبیه کرده است؛ اما هکرها با ترکیب سه ضعف مجزا در قالب یک زنجیره یکپارچه، تمام این موانع را دور می‌زنند.

در مرحله اول، مهاجمان از یک تکنیک جدید به نام تزریق پارامتر به پرامپت استفاده می‌کنند. در این روش، هکر یک لینک آلوده برای قربانی می‌فرستد که دستورات مخرب در انتهای آدرس اینترنتی پنهان شده‌اند. زمانی که کاربر روی این لینک کلیک می‌کند، کوپایلوت دستور پنهان را به عنوان یک فرمان درست از سوی کاربر تفسیر می‌کند و برای مثال، ایمیل‌های او را می‌گردد تا عنوان آن‌ها را استخراج کند.

در گام دوم، هکرها از نقطه ضعف نحوه پردازش اطلاعات در این هوش مصنوعی بهره می‌برند. به‌طور معمول، مایکروسافت برای جلوگیری از اجرای کدهای مخرب، پاسخ‌های کوپایلوت را در قالب بلوک‌های متنی ساده محصور می‌کند. بااین‌حال، محققان متوجه شدند که این لایه محافظتی تنها پس از پایان یافتن مرحله تفکر هوش مصنوعی فعال می‌شود.

مراحل هک کوپایلوت

در حین تولید و استریم پاسخ، کدهای مخرب به صورت موقت در مرورگر کاربر بارگذاری می‌شوند و پیش از آنکه سیستم محافظتی وارد عمل شود، اطلاعات را به بیرون ارسال می‌کنند. درنهایت، برای دور زدن محدودیت‌های ارسال اطلاعات به سایت‌های ناشناس، هکرها از موتور جستجوی Bing به عنوان یک واسطه استفاده می‌کنند. از آنجا که سیستم به دامنه‌های مایکروسافت اعتماد کامل دارد، درخواست آلوده از طریق ویژگی جستجوی تصویر بینگ به سرور هکر منتقل می‌شود و اطلاعات حساس کاربر در اختیار مهاجم قرار می‌گیرد.

البته مایکروسافت روز سه‌شنبه گذشته آسیب‌پذیری‌های سرچ‌لیک را پچ کرد. با‌این‌حال رفع‌کردن یک حفره امنیتی به معنای پایان این کابوس نیست. از آنجا که هنوز هیچ راهکار شناخته‌شده‌ای برای رفع علت اصلی مشکل مدل‌های زبانی بزرگ در فریب‌خوردن وجود ندارد، هکرها دیر یا زود راه‌های دیگری برای دورزدن موانع امنیتی جدید پیدا خواهند کرد.

مایکروسافت
آزاد کبیری
آزاد کبیری

دانش‌آموخته‌ زبان‌شناسی‌ هستم و همان‌قدر که به «کلمه» علاقه‌مندم، از سرک‌کشیدن به گوشه‌وکنارِ جهان تکنولوژی و علم هم حظ می‌کنم.

مشاهده کلیه مقالات منتشر شده

مقالات و اخبار مرتبط

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی

پیشنهادهای دیجیاتو