EchoLeak והסיכונים הפוטנציאליים של בינה מלאכותית
ככל שבינה מלאכותית (AI) הופכת לחלק מכל דבר, החל מכתיבת דוחות, מענה לאימיילים ועד ניתוח נתונים, נראה שאנו חיים בעידן של נוחות חסרת תקדים. אבל גם החיסרון של הנוחות מתחיל להתברר, במיוחד בכל הנוגע לאבטחה.
פגיעות אבטחה שנוצרה לאחרונה, המכונה EchoLeak, הותירה את משתמשי שירות Microsoft Copilot בסיכון לדליפת נתונים רגישים מבלי שינקטו פעולה כלשהי.
כאשר בינה מלאכותית הופכת לפגיעות אבטחה
על פי מחקר של Tuoi Tre Online , EchoLeak היא פגיעות אבטחה חדשה שתועדה עם הקוד CVE-2025-32711, אשר מומחים דירגו כמסוכנת בדירוג 9.3/10 על פי סולם NIST.
מה שמדאיג מומחי אבטחה הוא שמדובר ב"אפס קליקים" באופיו: תוקפים יכולים לנצל נתונים מ-Copilot מבלי שהמשתמש יצטרך ללחוץ, לפתוח קובץ או אפילו לדעת שמשהו קורה.
לא מדובר בבאג פשוט. צוות המחקר ב-Aim Labs, שגילה את הפגם, מאמין ש-EchoLeak משקף פגם עיצובי נפוץ במערכות בינה מלאכותית מבוססות סוכנים ו-RAG. מכיוון ש-Copilot הוא חלק מחבילת האפליקציות של Microsoft 365, המכילה את האימיילים, המסמכים, הגיליונות האלקטרוניים ולוחות הזמנים של פגישות של מיליוני משתמשים, הפוטנציאל לדליפת נתונים חמור במיוחד.
הבעיה טמונה לא רק בקוד הספציפי, אלא באופן שבו מודלים של שפה גדולה (LLMs) פועלים. בינה מלאכותית זקוקה להרבה הקשר כדי להגיב במדויק, ולכן ניתנת לה גישה להרבה נתוני רקע. ללא בקרות ברורות על הקלט והפלט, בינה מלאכותית יכולה להיות "מונעת" בדרכים שהמשתמשים אינם מודעים להן. זה יוצר סוג חדש של "דלת אחורית" שאינה נובעת מפגם בקוד, אלא משום שבינה מלאכותית מתנהגת מחוץ להבנה האנושית.
מיקרוסופט הוציאה במהירות תיקון, ועד כה לא דווח על נזק אמיתי. אבל הלקח מ-EchoLeak ברור: כאשר בינה מלאכותית משולבת עמוק במערכות פעילות, אפילו שגיאות קטנות באופן שבו היא מבינה את ההקשר עלולות להיות להן השלכות אבטחה משמעותיות.
ככל שהבינה המלאכותית הופכת לנוחה יותר, כך נתונים אישיים הופכים לשבריריים יותר
תקרית EchoLeak מעלה שאלה מטרידה: האם אנשים כל כך בוטחים בבינה מלאכותית שהם לא מבינים שניתן לעקוב אחריהם או לחשוף את המידע האישי שלהם באמצעות הודעת טקסט בלבד? פגיעות שהתגלתה לאחרונה המאפשרת להאקרים לחלץ נתונים בשקט מבלי שמשתמשים יצטרכו ללחוץ על כפתורים כלשהם היא דבר שנראה בעבר רק בסרטי מדע בדיוני, אך כעת היא מציאות.
בעוד שיישומי בינה מלאכותית הופכים פופולריים יותר ויותר, החל מעוזרים וירטואליים כמו Copilot, צ'אטבוטים בבנקאות, בחינוך ועד פלטפורמות בינה מלאכותית שכותבות תוכן ומעבדות מיילים, רוב האנשים אינם מקבלים אזהרה לגבי אופן עיבוד ואחסון הנתונים שלהם.
"צ'אט" עם מערכת בינה מלאכותית כבר אינו רק שאילת כמה שאלות לנוחיותכם, אלא יכול גם לחשוף, בלי כוונה, את מיקומכם, הרגליכם, רגשותיכם או אפילו את פרטי חשבונכם.
בווייטנאם, אנשים רבים מכירים את השימוש בבינה מלאכותית בטלפונים ובמחשבים ללא ידע בסיסי באבטחה דיגיטלית . אנשים רבים חולקים מידע פרטי עם בינה מלאכותית משום שהם מאמינים ש"זו רק מכונה". אך במציאות, מאחוריה עומדת מערכת שיכולה להקליט, ללמוד ולהעביר נתונים למקומות אחרים, במיוחד כאשר פלטפורמת הבינה המלאכותית מגיעה מצד שלישי ולא נבדקה בבירור לאבטחה.
כדי להגביל סיכונים, משתמשים לא בהכרח צריכים לוותר על טכנולוגיה, אלא צריכים להיות מודעים יותר: עליהם לבדוק היטב האם לאפליקציית הבינה המלאכותית שהם משתמשים בה יש מקור אמין, האם הנתונים מוצפנים, ובעיקר לא לשתף מידע רגיש כגון מספרי זהות, חשבונות בנק, מידע בריאותי... עם אף מערכת בינה מלאכותית מבלי לקבל אזהרה ברורה.
בדיוק כמו כשהאינטרנט נולד לראשונה, גם בינה מלאכותית זקוקה לזמן כדי להשתכלל, ובמהלך תקופה זו, המשתמשים צריכים להיות הראשונים להגן על עצמם באופן יזום.
האם אי פעם אתם משתפים יותר מדי עם בינה מלאכותית?
כאשר מקלידים פקודה כמו "כתוב לי מחדש את הדוח הזה בצורה ידידותית יותר" או "סכם את הפגישה של אתמול", אנשים רבים לא חושבים שכל המידע שהם מזינים, כולל פרטים פנימיים, רגשות אישיים והרגלי עבודה, יכול להיות מוקלט על ידי בינה מלאכותית. התרגלנו כל כך לשוחח בצ'אט עם כלים חכמים שאנחנו שוכחים את הגבול בין נוחות לפרטיות.
מקור: https://tuoitre.vn/lo-hong-bao-mat-trong-microsoft-copilot-canh-bao-moi-ve-nguy-co-ro-ri-du-lieu-tu-ai-20250620103045262.htm
![[תמונה] המזכיר הכללי טו לאם משתתף בציון 80 שנה ליום המסורתי של בית המשפט העממי](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/ff42d08a51cc4673bba7c56f6a576384)
![[תמונה] מאות מטרים מקו החוף של הוי אן נשחקו קשות](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/57c85b745a004d169dfe1ee36b6777e5)
תגובה (0)