- 我的订阅
- 科技
我们正处于一个信息大暴发的时代,每天都能产生数以百万计的新闻资讯!
虽然有大数据推荐,但面对海量数据,通过我们的调研发现,在一个小时的时间里,您通常无法真正有效地获取您感兴趣的资讯!
头条新闻资讯订阅,旨在帮助您收集感兴趣的资讯内容,并且在第一时间通知到您。可以有效节约您获取资讯的时间,避免错过一些关键信息。
微软copilotai可泄露敏感数据,变身强大的钓鱼攻击工具
8月11日消息,据Futurism报道,安全研究人员近日揭示微软内置于Windows系统的CopilotAI可被轻松操控泄露企业敏感数据,甚至变身强大的钓鱼攻击工具。
IT之家注意到,安全公司Zenity联合创始人兼CTOMichaelBargury在拉斯维加斯黑帽安全大会上披露了这一惊人发现,他表示,“我可以利用它获取你的所有联系人信息,并替你发送数百封电子邮件。”他指出,传统黑客需要花费数天时间精心制作钓鱼邮件,而利用Copilot,几分钟内即可生成大量具有欺骗性的邮件。
研究人员通过演示展示了攻击者无需获取企业账户即可诱骗Copilot修改银行转账收款人信息,只需发送一封恶意邮件,甚至无需目标员工打开即可实施攻击。
另一个演示视频揭露了黑客在获取员工账户后可利用Copilot造成严重破坏。通过简单的提问,Bargury成功获取了敏感数据,他可以利用这些数据来冒充员工发起网络钓鱼攻击。Bargury首先获取同事Jane的邮箱地址,了解与Jane的最近一次对话内容,并诱导Copilot泄露该对话中的抄送人员邮箱。随后,他指示Copilot以被攻击员工的风格撰写一封发送给Jane的邮件,并提取两人最近一次邮件的准确主题。短短几分钟内,他就创建了一封具有高度可信度的钓鱼邮件,可向网络中的任何用户发送恶意附件,而这一切都得益于Copilot的积极配合。
微软CopilotAI,尤其是CopilotStudio,允许企业定制聊天机器人以满足特定需求。然而,这也意味着AI需要访问企业数据,从而引发安全隐患。大量聊天机器人默认情况下可被在线搜索到,成为黑客的攻击目标。
攻击者还可以通过间接提示注入绕过Copilot的防护措施。简单来说,可以通过外部来源的恶意数据,例如让聊天机器人访问包含提示的网站,来使其执行禁止的操作。Bargury强调:“这里存在一个根本问题。当给AI提供数据访问权限时,这些数据就成为了提示注入的攻击面。某种程度上来说,如果一个机器人有用,那么它就是脆弱的;如果它不脆弱,它就没有用。”
以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。
快照生成时间:2024-08-12 08:45:08
本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。
信息原文地址:
