2024-08-11
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
IT House는 8월 11일 Futurism에 따르면 보안 연구원들이 최근 Windows 시스템에 내장된 Microsoft의 Copilot AI가 쉽게 조작되어 민감한 기업 데이터를 유출할 수 있고 심지어 강력한 피싱 공격 도구로 변할 수도 있다는 사실을 밝혔습니다.
IT House는 보안 회사 Zenity의 공동 창업자이자 CTO인 Michael Bargury가 라스베거스에서 열린 Black Hat 보안 컨퍼런스에서 이 놀라운 발견을 공개했다고 언급했습니다. 그는 "나는 이것을 사용하여 귀하의 모든 연락처 정보를 얻을 수 있습니다. 그리고 수백 통의 이메일을 보낼 수 있습니다." ." 그는 전통적인 해커들이 피싱 이메일을 주의 깊게 작성하려면 며칠을 소비해야 하지만 Copilot을 사용하면 몇 분 안에 수많은 사기성 이메일을 생성할 수 있다고 지적했습니다.
연구원들은 시연을 통해 공격자가 회사 계좌를 확보하지 않고도 Copilot을 속여 은행 송금 수취인 정보를 수정할 수 있음을 시연했습니다. 악성 이메일만 보내면 되고, 대상 직원은 공격을 수행하기 위해 이메일을 열 필요조차 없습니다.
또 다른 데모 비디오에서는 해커가 직원 계정에 접근한 후 Copilot을 사용하여 큰 피해를 입힐 수 있는 방법을 보여줍니다.. 간단한 질문을 통해 Bargury는 직원을 사칭하여 피싱 공격을 시작하는 데 사용할 수 있는 민감한 데이터를 얻을 수 있었습니다. Bargury는 먼저 동료 Jane의 이메일 주소를 획득하고 Jane과의 가장 최근 대화 내용을 학습하고 Copilot이 대화에서 카피 담당자의 이메일 주소를 유출하도록 유도합니다. 그런 다음 그는 Copilot에게 공격을 받은 직원의 스타일로 Jane에게 이메일을 작성하고 두 사람 사이의 가장 최근 이메일의 정확한 제목을 추출하도록 지시했습니다. Copilot의 적극적인 협력 덕분에 그는 단 몇 분 만에 네트워크의 모든 사용자에게 악성 첨부 파일을 보낼 수 있는 매우 신뢰할 수 있는 피싱 이메일을 만들었습니다.
Microsoft Copilot AI, 특히 Copilot Studio를 사용하면 기업은 특정 요구 사항에 맞게 챗봇을 사용자 지정할 수 있습니다. 그러나 이는 AI가 기업 데이터에 액세스해야 하므로 보안 위험이 높아진다는 의미이기도 합니다. 많은 수의 챗봇이 기본적으로 온라인에서 검색 가능하므로 해커의 표적이 됩니다.
공격자는 간접적인 힌트 주입을 통해 Copilot의 보호 조치를 우회할 수도 있습니다. 간단히 말해서, 챗봇이 프롬프트가 포함된 웹사이트를 방문하여 금지된 작업을 수행하도록 하는 등 외부 소스의 악성 데이터를 사용할 수 있습니다. Bargury는 "여기에는 근본적인 문제가 있습니다. AI에게 데이터에 대한 액세스 권한을 부여하면 해당 데이터는 즉각적인 주입을 위한 공격 표면이 됩니다. 어느 시점에서 봇이 유용하다면 취약할 것이고, 취약하지 않다면 취약할 것입니다."라고 Bargury는 강조합니다. 쓸모 없는."
