חברת סייבר ישראלית חושפת פרצת אבטחה חמורה בכלי הבינה המלאכותית הפופולרי בעולם: חוקרי חברת "ורוניס" (Varonis) חשפו לאחרונה חולשה קריטית ב-Copilot, עוזר ה-AI של מיקרוסופט, המכונה "Reprompt". מדובר במתקפת "קליק אחד" מתוחכמת המאפשרת לתוקפים לגנוב בחשאי מידע אישי רגיש על ידי עקיפת מנגנוני הבטיחות המובנים של המערכת.
הפרצה, שהתגלתה על ידי החוקר דולב טלר במהלך פרויקט מחקר בתחום עוזרי ה-AI, הופכת את המשתמשים לפגיעים באמצעות לחיצה בודדת על קישור שנראה לגיטימי לחלוטין של מיקרוסופט. בניגוד למתקפות דומות בעבר, כאן אין צורך בהתקנת תוספים חיצוניים או באינטראקציה מתמשכת של המשתמש עם הצ'אטbot. מרגע הלחיצה, התוקף שומר על שליטה בסשן גם כאשר חלונית ה-Copilot סגורה, ומסוגל להוציא את המידע מהחשבון ללא ידיעת הקורבן.
מה שהופך את החולשה למסוכנת במיוחד היא היכולת לעקוף את מנגנוני ההגנה שאמורים למנוע דליפת מידע. כל הפקודות הזדוניות נשלחות מהשרת לאחר הפרומפט הראשוני, מה שהופך את הזיהוי של גניבת המידע לבלתי אפשרי בבדיקה שגרתית של היסטוריית הצ'אט. כתוצאה מכך, כלי אבטחה סטנדרטיים המותקנים על מחשבי המשתמשים אינם מסוגלים לזהות את הוצאת המידע החוצה.
התוקף יכול להנחות את ה-AI לבצע פעולות חודרניות במיוחד, כמו סיכום של כל הקבצים אליהם ניגש המשתמש במהלך היום, חשיפת מקום מגוריו או דליית פרטים על תוכניות אישיות וחופשות מתוכננות. למעשה, כל מידע רגיש שהמשתמש שיתף אי פעם עם העוזר הדיגיטלי, כולל היסטוריית השיחות המלאה, הופך נגיש לצד ג' באמצעות לחיצה אחת בלבד.
בעקבות הגילוי, פנתה חברת ורוניס למיקרוסופט, וזו שחררה תיקון שסגר את הפרצה. כעת לא נדרשת פעולה מצד המשתמשים או הארגונים, אך המקרה משמש תזכורת חדה לסיכונים החדשים המלווים את מהפכת ה-AI. מומחי אבטחה מעריכים כי מדובר רק בתחילתן של חשיפות דומות, ומדגישים את הצורך בזהירות יתרה בעת פתיחת קישורים, גם כאשר הם נראים כחלק משירותים מוכרים ומהימנים.