Fosztogatás a Microsoft Copilot mélyén
Az Embrace The Red kutatás a Microsoft Copilot és M365 Copilot környezetében azonosított támadási láncokat mutatja be, amelyek alapja prompt injection és AI-agent visszaélés.
A bemutatott sebezhetőség (CVE-2026-24299) során a támadó képes olyan bemenetet vagy dokumentumot bejuttatni a rendszerbe, amelyet a Copilot megbízhatóként kezel, és automatikusan végrehajt. Ez a modell lehetővé teszi, hogy az AI-asszisztens a felhasználó nevében hajtson végre műveleteket, például adatlekérdezést vagy fájlhozzáférést, anélkül hogy a felhasználó tudatosan engedélyezné.
A támadási lánc az indirekt prompt injection, ahol a rosszindulatú utasítás nem közvetlenül a felhasználótól származik, hanem például egy e-mailből, dokumentumból vagy külső forrásból. A Copilot ezt a tartalmat feldolgozza, majd a beépített tool invocation képességein keresztül további rendszerekhez fér hozzá, ami adatok exfiltrációjához vezethet.
Az AI-agentek implicit bizalmi modellje sérül, a rendszer nem mindig képes megkülönböztetni a legitim és a támadói utasításokat, így a támadó a felhasználó jogosultságait delegáltan kihasználhatja. Ez különösen veszélyes vállalati környezetben, ahol a Copilot széles körű hozzáféréssel rendelkezik, SharePoint, e-mail, dokumentumok.
A demonstrált exploitok között szerepel adatkinyerés vállalati dokumentumokból, valamint olyan láncok, ahol a Copilot több lépésben hajt végre műveleteket, mindezt a felhasználó interakciója nélkül. A támadás így nem klasszikus exploit, hanem AI-vezérelt műveleti lánc, amely a természetes nyelvi interfészt használja támadási felületként.
Az AI-asszisztensek bevezetésével új típusú támadási felület jön létre, nem kódszintű sérülékenységek, hanem bizalmi és vezérlési logikák kihasználása válik a fő kockázattá, különösen akkor, ha az agentek automatizált műveleteket hajtanak végre a felhasználó nevében.
