ភាពងាយរងគ្រោះរបស់ Microsoft Copilot៖ ការព្រមានថ្មីអំពីហានិភ័យនៃការលេចធ្លាយទិន្នន័យ AI

ដោយសារបញ្ញាសិប្បនិមិត្ត (AI) ក្លាយជាផ្នែកនៃរាល់ការងារ ចាប់ពីជំនួយក្នុងការសរសេររបាយការណ៍ ឆ្លើយតបទៅអ៊ីមែល រហូតដល់ការវិភាគទិន្នន័យ អ្នកប្រើប្រាស់ហាក់ដូចជាកំពុងរស់នៅក្នុងយុគសម័យនៃភាពងាយស្រួលដែលមិនធ្លាប់មានពីមុនមក។ ប៉ុន្តែ​ផ្នែក​ងងឹត​នៃ​ភាពងាយស្រួល​ក៏​ចាប់ផ្តើម​លេចចេញ​ជា​រូបរាង ជាពិសេស​នៅពេល​ដែល​វា​មក​ដល់​សន្តិសុខ​។

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនាពេលថ្មីៗនេះ ដែលមានឈ្មោះថា EchoLeak បានធ្វើឱ្យអ្នកប្រើប្រាស់សេវាកម្ម Microsoft Copilot ប្រឈមនឹងហានិភ័យនៃការលេចធ្លាយទិន្នន័យរសើបរបស់ពួកគេ ដោយមិនចាំបាច់ធ្វើសកម្មភាពណាមួយឡើយ។

នៅពេលដែល AI ក្លាយជាភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព

យោងតាមការស្រាវជ្រាវរបស់ Tuoi Tre Online EchoLeak គឺជាភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលទើបតែត្រូវបានកត់ត្រាជាមួយនឹងលេខកូដ CVE-2025-32711 ដែលអ្នកជំនាញបានវាយតម្លៃថាមានគ្រោះថ្នាក់ដល់ទៅ 9.3/10 យោងតាមមាត្រដ្ឋានរបស់ NIST ។

អ្វី​ដែល​អ្នកជំនាញ​សន្តិសុខ​បារម្ភ​នោះ​គឺ​លក្ខណៈ "zero-click" របស់វា៖ អ្នក​វាយប្រហារ​អាច​ទាញ​យក​ទិន្នន័យ​ពី Copilot ដោយ​មិន​ចាំបាច់​អ្នក​ប្រើ​ចុច​បើក​ឯកសារ ឬ​សូម្បី​តែ​ដឹង​ថា​មាន​អ្វី​កើតឡើង។

នេះមិនមែនជាកំហុសសាមញ្ញទេ។ ក្រុមស្រាវជ្រាវនៅ Aim Labs ដែលបានរកឃើញភាពងាយរងគ្រោះនេះ ជឿថា EchoLeak ឆ្លុះបញ្ចាំងពី កំហុសនៃការរចនាទូទៅ នៅក្នុង RAG (ការទាញយកជំនាន់បន្ថែម) និងប្រព័ន្ធ AI ផ្អែកលើភ្នាក់ងារ។ ដោយសារតែ Copilot គឺជាផ្នែកមួយនៃកម្មវិធី Microsoft 365 ដែលផ្ទុកអ៊ីមែល ឯកសារ សៀវភៅបញ្ជី និងកាលវិភាគប្រជុំរបស់អ្នកប្រើប្រាស់រាប់លាននាក់ ហានិភ័យនៃការលេចធ្លាយទិន្នន័យគឺធ្ងន់ធ្ងរណាស់។

បញ្ហាគឺមិនត្រឹមតែនៅក្នុងកូដជាក់លាក់ប៉ុណ្ណោះទេ ប៉ុន្តែនៅក្នុងវិធីដែលគំរូភាសាធំ (LLMs) ដំណើរការ។ AI ត្រូវការបរិបទជាច្រើនដើម្បីឆ្លើយតបយ៉ាងត្រឹមត្រូវ ហើយដូច្នេះពួកគេត្រូវបានផ្តល់សិទ្ធិចូលប្រើប្រាស់ទិន្នន័យផ្ទៃខាងក្រោយយ៉ាងច្រើន។ បើគ្មានការគ្រប់គ្រងច្បាស់លាស់លើការបញ្ចូល និងទិន្នផល AI អាចត្រូវបាន "ជំរុញ" នៅក្នុងវិធីដែលអ្នកប្រើប្រាស់មិនដឹង។ នេះបង្កើតប្រភេទថ្មីនៃ "backdoor" មិនមែនដោយសារតែកំហុសនៅក្នុងកូដនោះទេ ប៉ុន្តែដោយសារតែ AI មានឥរិយាបទនៅខាងក្រៅការយល់ដឹងរបស់មនុស្ស។

ក្រុមហ៊ុន Microsoft បានចេញផ្សាយបំណះយ៉ាងឆាប់រហ័ស ហើយរហូតមកដល់ពេលនេះ មិនទាន់មានការរាយការណ៍ពីការខូចខាតជាក់ស្តែងណាមួយឡើយ។ ប៉ុន្តែមេរៀនពី EchoLeak គឺច្បាស់ណាស់៖ នៅពេលដែល AI ត្រូវបានដាក់បញ្ចូលយ៉ាងស៊ីជម្រៅទៅក្នុងប្រព័ន្ធការងារ សូម្បីតែកំហុសតូចតាចក្នុងរបៀបដែលវាយល់អំពីបរិបទអាចមានផលវិបាកផ្នែកសុវត្ថិភាពធំ។

AI កាន់តែងាយស្រួល ទិន្នន័យផ្ទាល់ខ្លួនកាន់តែផុយស្រួយ

ឧប្បត្តិហេតុ EchoLeak បង្កើតជាសំណួរដ៏គួរឱ្យព្រួយបារម្ភមួយ៖ តើអ្នកប្រើប្រាស់ជឿជាក់លើ AI ខ្លាំងពេក ដែលពួកគេមិនដឹងថាពួកគេ អាចត្រូវបានតាមដាន ឬត្រូវបានលាតត្រដាងព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ ដោយគ្រាន់តែផ្ញើសារ? ភាពងាយរងគ្រោះដែលទើបរកឃើញថ្មី ដែលអនុញ្ញាតឱ្យពួក Hacker ទាញយកទិន្នន័យដោយស្ងៀមស្ងាត់ ដោយមិនចាំបាច់ចុចប៊ូតុងណាមួយឡើយ គឺជាអ្វីដែលធ្លាប់តែឃើញនៅក្នុងខ្សែភាពយន្តបែបប្រឌិតបែបវិទ្យាសាស្ត្រ ប៉ុន្តែឥឡូវនេះក្លាយជាការពិត។

ខណៈពេលដែលកម្មវិធី AI កំពុងតែពេញនិយមកាន់តែខ្លាំងឡើងពីជំនួយការនិម្មិតដូចជា Copilot, chatbots ក្នុងវិស័យធនាគារ ការអប់រំ រហូតដល់វេទិកា AI ដែលសរសេរមាតិកា ដំណើរការអ៊ីមែល មនុស្សភាគច្រើនមិនត្រូវបានព្រមានអំពីរបៀបដែលទិន្នន័យរបស់ពួកគេត្រូវបានដំណើរការ និងរក្សាទុកនោះទេ។

“ការជជែក” ជាមួយនឹងប្រព័ន្ធ AI មិនមែនគ្រាន់តែជាការសួរសំណួរមួយចំនួនដើម្បីភាពងាយស្រួលនោះទេ ប៉ុន្តែក៏អាចបង្ហាញទីតាំង ទម្លាប់ អារម្មណ៍ ឬព័ត៌មានគណនីរបស់អ្នកដោយអចេតនាផងដែរ។

នៅ​ប្រទេស​វៀតណាម មនុស្ស​ជា​ច្រើន​ស៊ាំ​នឹង​ការ​ប្រើ AI នៅ​លើ​ទូរសព្ទ និង​កុំព្យូទ័រ ដោយ​មិន​មាន ​ចំណេះដឹង​មូលដ្ឋាន​អំពី​សុវត្ថិភាព​ឌីជីថល ។ មនុស្សជាច្រើនចែករំលែកព័ត៌មានឯកជនជាមួយ AI ដោយសារតែពួកគេជឿថា "វាគ្រាន់តែជាម៉ាស៊ីន"។ ប៉ុន្តែតាមពិតទៅ នៅពីក្រោយវាគឺជាប្រព័ន្ធដែលអាចកត់ត្រា រៀន និងបញ្ជូនទិន្នន័យទៅកន្លែងផ្សេង ជាពិសេសនៅពេលដែលវេទិកា AI មកពីភាគីទីបី ហើយមិនទាន់ត្រូវបានសាកល្បងច្បាស់លាស់សម្រាប់សុវត្ថិភាព។

ដើម្បីកំណត់ហានិភ័យ អ្នកប្រើប្រាស់មិនចាំបាច់បោះបង់បច្ចេកវិទ្យានោះទេ ប៉ុន្តែត្រូវយល់ដឹងបន្ថែម៖ ពួកគេគួរតែពិនិត្យមើលដោយប្រុងប្រយ័ត្នថាតើកម្មវិធី AI ដែលពួកគេកំពុងប្រើប្រាស់មានប្រភពដែលអាចទុកចិត្តបានឬអត់ ទិន្នន័យត្រូវបានអ៊ិនគ្រីប និងជាពិសេស មិនត្រូវចែករំលែកព័ត៌មានរសើប ដូចជាលេខអត្តសញ្ញាណប័ណ្ណ គណនីធនាគារ ព័ត៌មានសុខភាព... ជាមួយប្រព័ន្ធ AI ណាមួយដោយមិនមានការព្រមានច្បាស់លាស់។

ដូចពេលដែលអ៊ីនធឺណេតចាប់កំណើតដំបូងដែរ AI ក៏ត្រូវការពេលវេលាដើម្បីល្អឥតខ្ចោះដែរ ហើយក្នុងអំឡុងពេលនោះ អ្នកប្រើប្រាស់គួរតែជាអ្នកដំបូងដែលការពារខ្លួនយ៉ាងសកម្ម។