駭客利用Copilot漏洞進行網絡攻擊
灣仔298電腦資訊網 報導
在最近的Black Hat USA會議上,安全研究員Michael Bargury揭示了微軟Copilot中的一系列漏洞,展示了駭客如何利用這個AI驅動的工具進行惡意攻擊。這一發現強調了企業在使用AI技術時重新評估其安全措施的迫切需要。
Bargury的演講中指出,攻擊者可以通過多種方法利用微軟Copilot執行網絡攻擊。其中一個關鍵發現是駭客能使用Copilot插件在其他用戶的互動中安裝後門,從而促成資料竊取和AI驅動的社會工程攻擊。駭客可以通過改變Copilot的行為來達到他們的目的,這是通過提示注入技術來實現的,該技術改變了AI的回應以適應駭客的目標。
Bargury還介紹了一個名為“LOLCopilot”的紅隊工具,該工具專為道德駭客(Ethical hackers)設計,用於模擬攻擊並了解Copilot可能帶來的威脅。
Ethical hackers,中文通常譯作「道德黑客」或「白帽黑客」,是指經過授權並具有專業技術的人員,他們受僱於企業或組織,負責進行網絡安全測試。他們的工作是模擬惡意黑客(通常稱為「黑帽黑客」)的攻擊方式,來找出系統或網絡中的潛在漏洞和安全風險,然後幫助修復這些問題。
這次測試,道德駭客使用LOLCopilot可以在任何啟用了Microsoft 365 Copilot的租戶中運行,允許道德駭客探索如何成功利用Copilot進行資料外流和釣魚攻擊,而不在系統日誌中留下痕跡。
(圖:資料外洩, Image Credit: cybersecuritynews.com)
這次展示顯示,微軟Copilot的默認安全設置不足以防止這類攻擊。
該工具能夠訪問和處理大量數據,特別是在權限管理不當的情況下,這構成了重大風險。專家建議企業實施強有力的安全措施,例如定期的安全評估、多因素身份驗證和嚴格的基於角色的訪問控制,以減輕這些風險。此外,企業還需教育員工了解AI工具可能帶來的風險,並建立全面的事件響應協議。通過加強安全措施和培養安全意識文化,公司可以更好地保護自己免受AI技術的利用。
看來,隨著這些漏洞被公開,微軟可能需要迅速應對這一挑戰,推出更完善的安全防護措施,確保用戶能夠安心使用Copilot。
[完]對於以上消息,各位298電腦讀者又怎看呢?
歡迎到我們的<<討論區>>分享你的意見。
另外,如果你有什麼新的資訊想讓廣大的電腦愛好者知道,也可以主動向我們編輯部電腦記者報料,報料電郵:info@wanchai298.com
若有任何廣告合作,亦歡迎電郵我們商談。
灣仔298電腦資訊網
免費網上電腦雜誌,電腦IT人集中地!
網址:www.wanchai298.com
298電腦Whatsapp粉絲群:https://wanchai298.com/fans