- Varonis descobre um novo método de injeção imediata por meio de parâmetros de URL maliciosos chamado “Berprompt”.
- Os invasores podem enganar as ferramentas GenAI em dados confidenciais com um único clique
- A Microsoft corrigiu o bug, bloqueando ataques de injeção instantânea via URLs
Os pesquisadores de segurança da Varonis descobriram o Reprompt, uma nova maneira de realizar ataques do tipo injeção imediata no Microsoft Copilot, que não inclui o envio de um e-mail com um prompt oculto ou a ocultação de comandos maliciosos em um site comprometido.
Como outros ataques de injeção, este também exige um único clique.
Os ataques de injeção rápida, como o nome sugere, são ataques em que os cibercriminosos injetam convites em ferramentas de geração de IA para forçar a ferramenta a fornecer dados confidenciais. Eles são possíveis principalmente porque a ferramenta não consegue distinguir adequadamente entre o prompt a ser executado e os dados a serem lidos.
Injeção instantânea via URLs
Normalmente, os ataques de injeção instantânea funcionam assim: a vítima usa um cliente de e-mail com GenAI incorporado (por exemplo, Gmail com Gemini). A vítima recebe um e-mail de aparência benigna contendo um prompt oculto malicioso. Isso pode ser escrito em texto branco sobre fundo branco ou reduzido para fonte 0.
Quando a vítima instrui a IA a ler o e-mail (por exemplo, para resumir pontos-chave ou verificar convites de chamadas), a IA também lê e executa o prompt oculto. Estas recomendações podem incluir, por exemplo, a evacuação de dados confidenciais da caixa de entrada para um servidor sob o controle do invasor.
Agora, Varonis descobriu algo semelhante: um ataque de injeção de URL. Eles adicionariam uma longa série de instruções específicas, na forma de um parâmetro aq, ao final de um link que de outra forma seria legítimo.
Esta é a aparência desse link: http://copilot.microsoft.com/?q=Hello
O Copilot (e muitas outras ferramentas baseadas em LLM) trata URLs com o parâmetro aq como entrada de texto, semelhante a algo que um usuário digita em um prompt. Em seu experimento, as vítimas conseguiram vazar dados confidenciais compartilhados com a IA antecipadamente.
Varonis relatou suas descobertas à Microsoft na semana passada, que corrigiu a falha e parou de explorar ataques de injeção de URL.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
