Digitalna Srpska

OTKRIVEN REPROMPT Nova tehnika sajber napada neprimjetno izvlači podatke iz AI četbotova

Bezbjednosni istraživači otkrili su novu tehniku napada koja pokazuje kako AI četbotovi mogu biti izmanipulisani da otkriju osjetljive podatke uz minimalno učešće korisnika. Metod, nazvan Reprompt, pokazuje kako napadači mogu izvući informacije iz AI asistenta poput Microsoft Copilota samo jednim klikom na link koji izgleda potpuno legitimno.

vještačka inteligencija
FOTO: UNIVERSITY OF MARYLAND SCHOOL OF MEDICINE/YOUTUBE/SCREENSHOT

Prema riječima istraživača, napad ne zahtijeva instalaciju malvera, dodataka u pregledaču niti kontinuiranu interakciju sa korisnikom. Nakon što žrtva klikne na link, napadač može zadržati kontrolu nad sesijom četbota čak i kada se prozor za ćaskanje zatvori, omogućavajući neprimjetno „curenje“ podataka.

Problem je prijavljen Microsoftu koji je u međuvremenu ispravio ranjivost. Kompanija je potvrdila da poslovni korisnici Microsoft 365 Copilota nisu pogođeni.

Reprompt se oslanja na slabosti u dizajnu. Napadači ubacuju skrivene instrukcije direktno u Copilot veb-link, koristeći standardne parametre u URL-u. Te instrukcije su pažljivo oblikovane tako da zaobiđu zaštite koje sprečavaju direktno izvlačenje podataka, jer se pojedini bezbjednosni mehanizmi primjenjuju samo na početni upit.

Nakon toga, Copilot može da uspostavi kontinuiranu komunikaciju sa eksternim serverom napadača, što omogućava dugotrajno i prikriveno izvlačenje informacija.

U realnom scenariju, korisnik bi mogao da dobije imejl sa linkom koji izgleda kao običan Copilot upit. Klikom na njega, Copilot izvršava skrivene instrukcije iz URL-a. Napadač zatim može daljinski da šalje dodatne komande, podstičući četbot da sumira nedavno korišćene fajlove, izvodi zaključke o ličnim podacima ili otkrije kontekstualne informacije. Pošto se te naknadne instrukcije isporučuju dinamički, teško je utvrditi šta se tačno dešava samo na osnovu originalnog linka.

Pročitajte još

Istraživači upozoravaju da se na ovaj način Copilot praktično pretvara u nevidljiv kanal za izvlačenje podataka, bez unosa upita od strane korisnika i bez ekstenzija.

Reprompt ukazuje na širi problem velikih jezičkih modela: oni ne umiju pouzdano da razlikuju korisničke instrukcije od komandi ubačenih u nepouzdane podatke. To otvara vrata takozvanim indirektnim prompt injection napadima. Ovo otkriće dolazi u trenutku kada se pojavljuje sve više sličnih tehnika koje ciljaju AI alate.

Stručnjaci upozoravaju da prompt injection ostaje trajna i sve sofisticiranija prijetnja. Preporučuju se slojevite bezbjednosne mjere, ograničavanje privilegija AI alata i striktna kontrola pristupa osjetljivim sistemima.

Korisnicima se savjetuje da ne klikću na nepoznate AI-linkove i da budu oprezni sa dijeljenjem povjerljivih informacija u razgovorima sa četbotovima, piše Informacija.