•
近日,微軟系統內建的Copilot 被曝存在資料洩露。Black Hat 2024 大會的一名研究人員揭露了一項驚人發現,微軟的 AI 助手 Copilot 存在多個安全漏洞,攻擊者可以利用這些漏洞竊取敏感資料,甚至變身成為強大的釣魚攻擊工具。
Copilot是微軟推出的AI助手,也搭載著微軟開啟AI PC革命的雄心。作為一個助手,Copilot可以為高級領導到 IT 專業人員再到一線員工,提供可簡化任務、自動化工作流程並增強協作,更大釋放員工生產力和創造力,被視為可以顛覆打工方式。
高強度使用者互動、訪問大量公司資料,這些植入AI助手DNA的特色,也埋下了安全隱患。這不是微軟Copilot 第一次捲入資料洩露的漩渦,也不會是最後一次。
AI助手作為最值得關注的商業應用方向,業內認為將重塑未來生活與工作模式。然而 ,微軟Copilot事件再度敲響警鐘,隨著AI逐漸嵌入到每個人日常,資料安全保障能到位嗎?
根據Black Hat 2024 公佈的情況,微軟Copilot不安全的預設值、過度寬鬆的外掛以及一廂情願的設計思維,使得資料洩露“不僅可能,而且很可能”。
安全公司Zenity的聯合創始人兼CTO Michael Bargury稱,“人們建構的大多數 Copilot Studio 機器人都是不安全的,而且它們在網路上很容易被發現。這就是即將發生的資料洩露。”
Bargury利用自己建立的工具CopilotHunter掃描可公開訪問的 copilot,並使用模糊測試和AI 濫用它們,從而提取敏感的企業資料。研究結果表明,針對數千個可訪問的人工智慧助手,可以揭示出惡意行為者可以利用的敏感資料和公司憑證。
此外,研究人員通過演示展示了攻擊者如何通過這些漏洞實施攻擊,無需獲取企業帳戶即可誘騙Copilot修改銀行轉帳人資訊,甚至無需獲取目標員工打開郵件即可實施攻擊,這一切都得益於Copilot的積極配合。
事實上,這並非微軟 Copilot 首次受到質疑,今年6月初就有網路安全專家表示,Copilot+中名為“回顧”(Recall)功能的日誌系統僅僅是一個 SQLite 資料庫,駭客可以遠端訪問這些資訊。
網路安全專家凱文・博蒙特 (Kevin Beaumont) 還在社交平台上指出,回顧功能會每隔幾秒鐘自動擷取螢幕內容,然後利用運行在使用者裝置上的 Azure 人工智慧進行光學字元識別 (OCR),並將識別出的文字內容寫入使用者資料夾中的 SQLite 資料庫。該資料庫檔案是以純文字形式記錄使用者在電腦上查看過的一切內容。
這種全面的監控和記錄能力,引發了人們對隱私保護的擔憂。
儘管微軟首席研究科學家海梅・蒂文(Jaime Teevan)在斯坦福大學 AI 研究所的演講中解釋稱,“回顧”功能收集的所有資料都儲存在使用者本地的電腦上,並不會將資料儲存到雲中。
但這並不能完全消除隱私洩露的風險,任何能夠訪問使用者電腦的人,無論是物理訪問還是遠端登錄,都有可能通過“回顧”功能獲取到敏感資訊。並且“回顧”功能並不會對敏感內容進行模糊處理或稽核,這更加增加了資料洩露的風險。
今年3月29日,美國國會眾議院出於安全考量,禁止其工作人員在工作裝置上使用微軟的 Copilot 生成式人工智慧輔助工具。
根據眾議院首席行政官Catherine Szpindor在傳送給國會辦公室的一份指南中表示,“網路安全辦公室認為微軟Copilot應用程式構成了風險,因為它有可能將眾議院的敏感資料,洩露到未經眾議院批准的雲服務中。”
微軟Copilot的種種安全問題並非是一家公司孤例,是縈繞在AI 助手應用上方的幽靈。
AI 助手旨在通過訪問大量資料來提供決策支援和自動化服務。從建立到使用的整個流程都充斥著資料安全風險。
以Copilot 為例,要建立自己的 Copilot,使用者必須選擇一個“知識”來源來訓練 AI 模型。可以選擇各種來源作為 AI 的訓練集,例如公共網站、上傳檔案、使用 SharePoint、OneDrive 或雲資料庫 Dataverse。
然而上傳的檔案可能包含隱藏的中繼資料,敏感或隔離的資料可能會被上傳。Copilot共享將打破隔離,使共同所有者能夠下載檔案,並導致多種洩漏情況。
數安信CTO崔維友指出,Copilot主要存在兩方面問題:首先,訓練的資料難免會包含私有化資訊;其次,AI很難真正理解問話者的實際意圖。他舉例稱,駭客會做一個“交叉盤問”AI工具,去“審問”Copilot,從而攻破防線,獲取資訊。
各種安全漏洞的出現主要是因為人工智慧代理技術被賦予了資料存取權,Black Hat大會中提到,當AI只要被賦予資料存取權,這些資料就會成為攻擊的目標。
但是人工智慧代理技術本身就是通過訪問大量資料來完成輔助功能,其實現途徑與風險入口成為了一種內在悖論。這是人工智慧代理技術發展不可避免的固有安全風險。
Bargury還強調:“這裡存在一個根本問題。當給AI提供資料存取權時,這些資料就成為了提示注入的攻擊面。某種程度上來說,如果一個機器人有用,那麼它就是脆弱的;如果它不脆弱,它就沒有用。”
此外,公有雲的互動也加劇了風險。使用微軟的內容管理工具 SharePoint 或儲存空間 OneDrive 作為輸入可能會出現問題,因為它可能會導致敏感資料過度共享。儘管資料儲存在公司的雲環境中,但使用者授權 Copilot 訪問所提供連結下的所有子頁面。
資料的持續洩露不僅影響了使用者和企業的隱私安全,其破壞成本也再創新高。
根據IBM發佈的2024年《資料洩露成本報告》中顯示,全球資料洩露事件的平均成本在今年達到488萬美元,與上一年相比,資料洩露帶來的成本增加了10%。
IBM安全戰略和產品設計副總裁凱文·斯卡皮內茨(Kevin Skapinetz)說:隨著生成式AI迅速滲透到企業中,擴大了攻擊面,這些(安全)費用很快將變得不可持續,迫使企業重新評估安全措施和響應策略。
斯卡皮內茨還發出了警告,“企業陷入了一個持續的洩露、遏制和後果響應的循環中。這個循環現在通常包括投資加強安全防禦和將洩露費用轉嫁給消費者——使安全成為新的商業成本。”
資料洩露的確是繼續發展人工智慧代理(AI agent)技術需要面對的棘手問題,針對AI技術發展帶來的安全風險,中國工程院院士、清華大學智能產業研究院院長張亞勤則建議,從事前沿大模型的企業或機構,要把10-30%的投資投到相關研究或產品的開發。 (21世紀經濟報導)