A Microsoft Copilot mesterséges intelligenciája is könnyen manipulálható az egyes szervezetek érzékeny adatainak (leveleinek, banki tranzakcióinak) kiszivárogtatására, ebből következően pedig hatékony eszközt jelenthet az adathalász (phishing) támadások felépítéséhez – ismertette a Zenity nevű biztonsági cég társalapítója és műszaki igazgatója a Las Vegas-i Black Hat konferencián. Ennek oka, hogy az MI-chatbotok olyan adatkészletekhez férnek hozzá, amelyek eleve érzékeny információt tartalmaznak: ahogy Michael Bargury a The Register beszámolójában fogalmazott, a hasznos robotok sebezhetőek, amelyik pedig nem sebezhető, az nem is hasznos.

Szerinte a szóban forgó adatokra támaszkodva erőteljes támadásokat lehet indítani bárki ellen, akivel az adott felhasználó valaha beszélt, emailek százait küldve el a nevében. A Wired oldalán is részletezett demonstrációból kiderül például, hogy a szervezeti fiókokhoz való hozzáférés nélkül is rá lehet venni a chatbotot, hogy megváltoztassa a banki átutalások címzettjét olyan preparált levelek elküldésével, amelyet a célpontnak meg sem kell nyitnia. A fiókok feltörésével persze még nagyobb károkat okozhatnak a rosszindulatú szereplők, olyan bizalmas adatokat szerezve meg a roboton keresztül, amelyek révén ritka hatékony adathalász támadásokat indíthatnak.

Bárhol felbukkanhatnak a mérgezett csalik

A cikkekben leírt esetek között van az az egyszerű szcenárió, amikor a hekker hozzájut egy kolléga elérhetőségéhez és a vele foyltatott legutóbbi beszélgetéshez. Ezután utasítja a robotot, hogy írjon neki egy e-mailt a szóban forgó alkalmazott stílusában, méghozzá az előző levelezés pontos tárgyával. Ezzel a módszerrel percek alatt hozhatók létre és küldhetők szét a kivételesen meggyőző emailek. Ahogy a beszámolókban hangsúlyozzák, amikor a Copilot Studio lehetővé teszi a chatbotok testre szabását (tulajdonképpen ez a dolog lényege), akkor az MI-nek értelemszerűen hozzá kell férnie a vállalati adatokhoz – és éppen itt jelennek meg a sebezhetőségek.

Bargury szerint a csevegőrobotok közül több tízezer darab már alapértelmezés szerint is felfedezhető az interneten, így a hekkerek könnyen célozhatják meg őket a rosszindulatú üzenetekkel. Az "indirect prompt injection", vagyis a parancsok indirekt befecskendezése így szintén lehetőséget ad a beépített korlátok megkerülésére, külső adatokkal mérgezve a robotokat a promptokat tartalmazó webhelyeken keresztül. Maga a Microsoft a The Register kérdésére annyit válaszolt, hogy hasonlóan a kompromittált fiókok sebezhetőségeit kihasználó más technikákhoz, ezek a módszerek is social engineering műveleteket vagy a rendszerek feltörését feltételezik.