Уязвимость Copilot позволила хакерам красть коды 2FA
Материал подготовлен искусственным интеллектом на основе нескольких источников — ссылки на оригиналы приведены ниже.

Критическая уязвимость в Microsoft Copilot, получившая название SearchLeak, позволила злоумышленникам перехватывать коды двухфакторной аутентификации пользователей. Эксплойт обходит меры безопасности, манипулируя поисковой функцией ИИ, что приводит к утечке конфиденциальных данных.
Эксплойт SearchLeak
Исследователи из Ars Technica обнаружили уязвимость SearchLeak в Microsoft Copilot, которая использует способность ИИ искать в интернете. С помощью специальных запросов злоумышленники могли заставить Copilot раскрыть коды 2FA, отправленные по электронной почте или SMS. Эксплойт не требует взаимодействия с пользователем, что делает его особенно опасным.
Последствия для отрасли
Эта ошибка подчеркивает повторяющиеся сбои безопасности в интеграциях больших языковых моделей (LLM). Microsoft выпустила патч, но инцидент демонстрирует сложность защиты систем ИИ, имеющих доступ к данным в реальном времени. Аналогичные уязвимости были обнаружены в других ИИ-ассистентах, включая Google Bard и OpenAI ChatGPT.
Что дальше
Microsoft призывает всех пользователей Copilot немедленно обновить программное обеспечение. Остается неясным, полностью ли патч устраняет основные архитектурные проблемы, которые позволили SearchLeak.
1 источник
Уязвимость Copilot позволила хакерам красть коды 2FA






