- Varonis descobre um novo método de injeção imediata por meio de parâmetros de URL maliciosos, apelidados de “Reprompt”.
- Os invasores podem enganar as ferramentas GenAI para que vazem dados confidenciais com um único clique
- A Microsoft corrigiu a falha, bloqueando ataques de injeção imediata por meio de URLs
Os pesquisadores de segurança Varonis descobriram Repromptuma nova maneira de realizar ataques no estilo de injeção imediata em Microsoft Copilot, que não inclui o envio de um e-mail com prompt oculto ou a ocultação de comandos maliciosos em um site comprometido.
Semelhante a outros ataques de injeção imediata, este também leva apenas um clique.
Os ataques de injeção de prompt são, como o nome sugere, ataques nos quais os cibercriminosos injetam prompts no Generative Ferramentas de IAenganando a ferramenta para que ela forneça dados confidenciais. Eles são possíveis principalmente porque a ferramenta ainda não consegue distinguir adequadamente entre um prompt a ser executado e os dados a serem lidos.
Injeção imediata por meio de URLs
Normalmente, os ataques de injeção imediata funcionam assim: a vítima usa um cliente de e-mail que possui GenAI incorporado (por exemplo, Gmail com Gemini). Essa vítima recebe um e-mail de aparência benigna que contém um prompt malicioso oculto. Isso pode ser escrito em texto branco sobre fundo branco ou reduzido para fonte 0.
Quando a vítima ordena que a IA leia o e-mail (por exemplo, para resumir pontos-chave ou verificar convites para chamadas), a IA também lê e executa o prompt oculto. Essas solicitações podem ser, por exemplo, para exfiltrar dados confidenciais da caixa de entrada para um servidor sob o controle dos invasores.
Agora, Varonis encontrou algo semelhante – um ataque de injeção imediata através de URLs. Eles adicionariam uma longa série de instruções detalhadas, na forma de um parâmetro q, no final do link que de outra forma seria legítimo.
Esta é a aparência desse link: http://copilot.microsoft.com/?q=Hello
Copiloto (e muitos outros LLMferramentas baseadas em -) tratam URLs com parâmetro aq como texto de entrada, semelhante a algo que um usuário digita no prompt. Em seu experimento, eles conseguiram vazar dados confidenciais que a vítima compartilhou previamente com a IA.
Varonis relatou suas descobertas à Microsoft que, no início da semana passada, tapou o buraco e fez ataques imediatos de injeção por meio de URLs que não eram mais exploráveis.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.