Um novo relatóriorio divulguado hoje pela Aim Security Ltd. Revela uma vulnerabilidada Primeira Conhecida de Inteligência Artificial de Clique Zero Pode Ter Permitido Que Invasores ExtraiSeMem Dados INTERNOS CONFIDIAIS MENQUERNO. Um Microsoft, Que Vem Coordenando Com Pesquisadorores Sobre uma Vulnerabilidade Há mesas, divulgou um comunicado na quarta-feira Passada Dizendo que o Problema Foi TotalentE Resolvido e Que Nenhuma Aça Adicional Era Necessidade Por parte dos clientes.
Leia Tamboma
Microsoft Amplia Programa de Bug Bounty Do Copilot
Microsoft confircora que Enderrará o Skype
Uma vulnerabilidada, apelidada de “echoleak”, foi Encontrada Na FerramentA de Ia Generativa 365 Copilot da Microsoft Corp. em Janeiro e reportada à Microsoft na Época. Um objetivo Só divulgou os detalehes Agora que uma vulnerabilidada foi corrigida.
Uma enxada vulnerabilídica de um objetivo, como uma “Violáção de Escopo Llm”, referindo-se a cenários em que um modelo de Linguagem Extenso Pode Ser Manipulado para Vazares Surmares Além do Contexto Pretendido. Nenhuma caso da vulnerabilidade Ecoleak, Envolvia, um Criação de um e-mail malicioso contendo uma sintaxe markdown específica que podria driflar como defesas contra as pessoas de injeção de promotor da Microsoft.
A Reduza não e-mail malicioso utiliza formatos de imagem e link de estilo de referências para o ignorar os filtros de higienizaça do copiloto, garantindo que um carga útil seja o quando o assistente.
Um partir daí, o Explore Poderia usar domínios confiáveis da própria Microsoft, inclusão em equipes sharepoint e, que estimar a lista de permissões da políticos de segurança de conteúdo copilot. OS domínios podem sersados para incorporar vincula externos ou imagens que, quando renderizados pelo copiloto, emitem solicita -se automático automático. OS Invasores Podem Redirecionar O Conteúdo Para Ser Servidor Que Controlam, Criano Essas referenciadas para Incluir Dados Confidenciais Recuperados do ContextO Do Copilot.
Fundamental, de Acordo com os Pesquisadores da AIM, TUDO ISSO ACONTECE NOS BASTIDORES. Os próprios usuários não precisam abrir o e-mail ou clicar em nada, sendão o processamento automatizado copilot suficiente para acionar Toda a cadeia, daí uma designação de clique zero para echoleak.
Um objetivo divulgou uma prova de concebito funcional Mostrando que Dados como memorandos, documentos estratégicos ou até mesmo identificadores Pessoais Podem Vazar Sem Qualquer Indicação Visual Visual AO Usurio Outros Administradores do Sistro. A Microsoft, EM Resposta, Reconheceu O Problema, Mas observou que não é Encontrou Evidênia de que uma vulnerabilidada Esteja senda explorada em campo.
