Ha a munkahelyi leveleidhez hozzáfér egy AI-asszisztens, akkor elég egy ügyes „szövegbe csomagolt” utasítás, és máris olyan adatokat kezdhet el összeszedni, amiket nem neki szántál. Most egy olyan Copilot-hibáról derült ki részlet, amelynél a célpont akár 2FA (kétlépcsős azonosítási) kódokat is elveszíthetett.

Mi történt

A Microsoft a múlt héten foltozott egy, saját besorolása szerint maximálisan kritikus sebezhetőséget az M365 Copilot platformban. Néhány nappal később a hibát megtaláló kutatók nyilvánosságra hozták, hogy a proof-of-concept (bizonyító célú demonstráció) exploitjuk képes volt érzékeny információkat kinyerni olyan e-mailekből, amelyekhez a Copilot hozzáfért – ideértve 2FA kódokat is.

A támadás lényege nem az volt, hogy „feltörték” a levelezést, hanem hogy a modell megtéveszthető határvonalát használták ki: az LLM (nagy nyelvi modell) nem tud megbízhatóan különbséget tenni a felhasználó által adott utasítás és a külső tartalomba (például egy összefoglalandó oldalba vagy elemzendő szövegbe) elrejtett parancs között. Gondolj rá úgy, mint egy túl segítőkész gyakornokra: amit utasításnak lát, azt végrehajtja, akkor is, ha valaki más „súgta be” neki a feladatot.

Miért fontos

A legtöbb modern asszisztensnél a kockázat nem csak az, hogy „rossz választ ad”, hanem hogy a nevedben dolgozik: összefoglal, válaszokat fogalmaz, adatokat keres a vállalati környezetben. Emiatt a prompt injection (amikor a támadó utasítást rejt az AI által feldolgozott tartalomba) valójában jogosultság- és adatkezelési probléma is: a modell az általad elérhető információkhoz hozzáfér, és ha ráveszik, képes lehet ezeket olyan formában „kiköpni”, ami már adatvesztés.

Mire figyelj

  1. A „guardrail” nem egyenlő a biztonsági határral. A Copilot és más rendszerek próbálnak korlátozásokat beépíteni (például ne küldjön automatikusan űrlapokat, ne e-mailezzen, vagy csak jóváhagyott domainekre menjen). Ezek azonban gyakran megkerülhetők kreatív csomagolással, például jelölőnyelvek (markup) vagy HTML-elemek felhasználásával, ahol a kimenetből webkérés lesz.
  2. Figyeld a „kimenetből adatküldés” trükköket. A leírt megközelítések lényege, hogy az érzékeny adat végül egy támadó szerverére érkező webkérésben jelenik meg (például naplókban). Ez azért veszélyes, mert nem feltétlenül látod úgy, mint klasszikus adatszivárgást – inkább „csak” egy link vagy beágyazott elem.
  3. Érdemes külön kezelni az AI-hoz adott bemeneteket. A Varonis által bemutatott lánc egyik eleme a Parameter-to-Prompt Injection: itt nem egy e-mail szövegébe rejtik a parancsot, hanem például egy URL lekérdezési paraméterébe (mint a q=). Ez arra utal, hogy nem elég az e-mailt vagy dokumentumot „megtisztítani”; a hivatkozások és paraméterek is támadási felület.

A történet tanulsága, hogy az AI-asszisztensek biztonságát nem csak „jó promptokkal” kell elképzelni: amíg a modell nem tudja garantáltan szétválasztani az utasítást a tartalomtól, addig a védelem sokszor inkább kármentés, mint valódi határvonal.