網絡安全研究人員發現,存在一種方法可以強迫 Microsoft 365 Copilot 獲取敏感數據,例如密碼,並通過“ASCII smuggling”將其發送給惡意第三方。
這種 ASCII smuggling 攻擊需要滿足三個條件:首先是 Microsoft 365 Copilot 能夠讀取電子郵件或附加文檔的內容;其次是有權限使用額外的程序,例如 Slack;最後是能夠使用“特殊的 Unicode 字符”來“走私”提示,這些字符雖然與 ASCII 相似,但實際上在用戶界面中是不可見的。根據 Embrace the Red 的研究人員的解釋,Microsoft 365 Copilot 可以被指示去閱讀和分析傳入電子郵件消息及其附件的內容。如果該電子郵件或附件指示 Microsoft 365 Copilot 在 Slack 或其他地方查找密碼、電子郵件地址或其他敏感數據,則它將執行該指令。
隱藏提示和不可見文本最終,如果這樣的惡意提示是通過特殊的 Unicode 字符隱藏在附件或電子郵件中,受害者可能無意中會告訴其 AI 聊天機器人將敏感數據交給惡意第三方。
為了證明這一點,研究人員向 Microsoft 分享了相關利用演示,展示了如何提取敏感數據,例如銷售數字和多重身份驗證 (MFA) 代碼,並最終進行解碼。
報告指出:“電子郵件並不是唯一的傳遞方法。強制共享文檔或 RAG 檢索也可以作為提示注入的手段。”在這份報告中,研究人員建議 Copilot 365 停止解釋或呈現 Unicode 標籤代碼點。報告最後強調:“可點擊超鏈接的呈現將導致釣魚和欺詐(以及數據外洩)。”報告指出,缺乏有效的提示注入修復方案,使得自動工具調用存在問題,因為對手可以通過該方式調用工具,這樣一來 (1) 就會將敏感信息引入提示上下文,並且 (2) 可能也會調用其他行為。
Microsoft 隨後已就此問題進行了處理。