ຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພຂອງ Microsoft Copilot: ຄຳເຕືອນໃໝ່ກ່ຽວກັບຄວາມສ່ຽງຮົ່ວໄຫຼຂອງຂໍ້ມູນ AI

ຍ້ອນວ່າປັນຍາປະດິດ (AI) ກາຍເປັນສ່ວນຫນຶ່ງຂອງທຸກໆວຽກ, ຈາກການຊ່ວຍເຫຼືອໃນການຂຽນບົດລາຍງານ, ຕອບກັບອີເມວໄປຫາການວິເຄາະຂໍ້ມູນ, ຜູ້ໃຊ້ເບິ່ງຄືວ່າຈະດໍາລົງຊີວິດຢູ່ໃນຍຸກທີ່ສະດວກສະບາຍທີ່ບໍ່ເຄີຍມີມາກ່ອນ. ແຕ່ດ້ານມືດຂອງຄວາມສະດວກສະບາຍກໍ່ຍັງເລີ່ມອອກມາ, ໂດຍສະເພາະໃນເວລາທີ່ມັນມາກັບຄວາມປອດໄພ.

ຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພເມື່ອບໍ່ດົນມານີ້ທີ່ມີຊື່ວ່າ EchoLeak ໄດ້ເຮັດໃຫ້ຜູ້ໃຊ້ບໍລິການ Microsoft Copilot ມີຄວາມສ່ຽງທີ່ຈະມີຂໍ້ມູນລະອຽດອ່ອນຂອງເຂົາເຈົ້າຮົ່ວໄຫຼໂດຍທີ່ເຂົາເຈົ້າບໍ່ໄດ້ດຳເນີນການໃດໆ.

ເມື່ອ AI ກາຍເປັນຄວາມສ່ຽງດ້ານຄວາມປອດໄພ

ອີງຕາມການຄົ້ນຄວ້າຂອງ Tuoi Tre Online , EchoLeak ແມ່ນຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພທີ່ຫາກໍ່ຖືກບັນທຶກດ້ວຍລະຫັດ CVE-2025-32711, ເຊິ່ງຜູ້ຊ່ຽວຊານໄດ້ໃຫ້ຄະແນນອັນຕະລາຍຢູ່ທີ່ 9.3/10 ອີງຕາມຂະຫນາດຂອງ NIST.

ສິ່ງທີ່ເປັນຄວາມກັງວົນຂອງຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພແມ່ນລັກສະນະ "zero-click" ຂອງມັນ: ຜູ້ໂຈມຕີສາມາດຂຸດຄົ້ນຂໍ້ມູນຈາກ Copilot ໂດຍທີ່ຜູ້ໃຊ້ບໍ່ຈໍາເປັນຕ້ອງຄລິກ, ເປີດໄຟລ໌, ຫຼືແມ້ກະທັ້ງຮູ້ວ່າມີຫຍັງເກີດຂຶ້ນ.

ນີ້ບໍ່ແມ່ນແມງໄມ້ທີ່ງ່າຍດາຍ. ທີມງານຄົ້ນຄ້ວາຢູ່ Aim Labs, ເຊິ່ງຄົ້ນພົບຊ່ອງໂຫວ່ດັ່ງກ່າວ, ເຊື່ອວ່າ EchoLeak ສະທ້ອນເຖິງ ຂໍ້ບົກພ່ອງຂອງການອອກແບບທົ່ວໄປ ໃນ RAG (ການດຶງຂໍ້ມູນ - ການຜະລິດເພີ່ມເຕີມ) ແລະລະບົບ AI ທີ່ອີງໃສ່ຕົວແທນ. ເນື່ອງຈາກວ່າ Copilot ແມ່ນສ່ວນຫນຶ່ງຂອງຊຸດ Microsoft 365 ຂອງແອັບພລິເຄຊັນທີ່ຖືອີເມວ, ເອກະສານ, ສະເປຣດຊີດ, ແລະຕາຕະລາງການປະຊຸມຂອງຜູ້ໃຊ້ຫຼາຍລ້ານຄົນ, ຄວາມສ່ຽງຕໍ່ການຮົ່ວໄຫລຂອງຂໍ້ມູນແມ່ນຮ້າຍແຮງຫຼາຍ.

ບັນຫາແມ່ນບໍ່ພຽງແຕ່ຢູ່ໃນລະຫັດສະເພາະ, ແຕ່ໃນແບບຈໍາລອງພາສາຂະຫນາດໃຫຍ່ (LLMs) ດໍາເນີນການ. AI ຕ້ອງການຫຼາຍບໍລິບົດເພື່ອຕອບສະຫນອງຢ່າງຖືກຕ້ອງ, ແລະດັ່ງນັ້ນພວກເຂົາໄດ້ຮັບການເຂົ້າເຖິງຂໍ້ມູນພື້ນຖານຈໍານວນຫລາຍ. ໂດຍບໍ່ມີການຄວບຄຸມທີ່ຊັດເຈນກ່ຽວກັບການປ້ອນຂໍ້ມູນແລະຜົນຜະລິດ, AIs ສາມາດຖືກ "ຂັບເຄື່ອນ" ໃນວິທີທີ່ຜູ້ໃຊ້ບໍ່ຮູ້. ນີ້ສ້າງປະເພດໃຫມ່ຂອງ "backdoor" ບໍ່ແມ່ນຍ້ອນຂໍ້ບົກພ່ອງຂອງລະຫັດ, ແຕ່ເນື່ອງຈາກວ່າ AI ມີພຶດຕິກໍາທີ່ຢູ່ນອກຄວາມເຂົ້າໃຈຂອງມະນຸດ.

Microsoft ໄດ້ປ່ອຍ patch ຢ່າງໄວວາ, ແລະບໍ່ມີລາຍງານຄວາມເສຍຫາຍໃນໂລກທີ່ແທ້ຈິງມາເຖິງຕອນນັ້ນ. ແຕ່ບົດຮຽນຈາກ EchoLeak ແມ່ນຈະແຈ້ງ: ເມື່ອ AI ປະສົມປະສານຢ່າງເລິກເຊິ່ງໃນລະບົບການເຮັດວຽກ, ເຖິງແມ່ນວ່າຄວາມຜິດພາດຂະຫນາດນ້ອຍໃນວິທີທີ່ມັນເຂົ້າໃຈສະພາບການສາມາດມີຜົນສະທ້ອນດ້ານຄວາມປອດໄພທີ່ສໍາຄັນ.

AI ສະດວກຫຼາຍ, ຂໍ້ມູນສ່ວນຕົວທີ່ອ່ອນແອຫຼາຍ

ເຫດການ EchoLeak ສ້າງຄໍາຖາມທີ່ຫນ້າເປັນຫ່ວງ: ຜູ້ໃຊ້ເຊື່ອຫມັ້ນ AI ຫຼາຍປານໃດທີ່ພວກເຂົາບໍ່ຮູ້ວ່າພວກເຂົາ ສາມາດຕິດຕາມໄດ້ຫຼືເປີດເຜີຍຂໍ້ມູນສ່ວນຕົວຂອງເຂົາເຈົ້າ ພຽງແຕ່ຂໍ້ຄວາມ? ຊ່ອງໂຫວ່ທີ່ຄົ້ນພົບໃໝ່ທີ່ອະນຸຍາດໃຫ້ແຮກເກີສາມາດສະກັດຂໍ້ມູນໄດ້ຢ່າງງຽບໆ ໂດຍທີ່ຜູ້ໃຊ້ບໍ່ຕ້ອງກົດປຸ່ມໃດໆ ເປັນສິ່ງທີ່ເຄີຍເຫັນໃນຮູບເງົາເລື່ອງນິຍາຍວິທະຍາສາດ, ແຕ່ດຽວນີ້ກາຍເປັນຄວາມເປັນຈິງແລ້ວ.

ໃນຂະນະທີ່ແອັບພລິເຄຊັນ AI ໄດ້ຮັບຄວາມນິຍົມເພີ່ມຂຶ້ນຈາກຜູ້ຊ່ວຍ virtual ເຊັ່ນ Copilot, chatbots ໃນທະນາຄານ, ການສຶກສາ , ໄປຫາເວທີ AI ທີ່ຂຽນເນື້ອຫາ, ຂະບວນການອີເມວ, ຄົນສ່ວນໃຫຍ່ບໍ່ໄດ້ຮັບການເຕືອນກ່ຽວກັບວິທີການຂໍ້ມູນຂອງພວກເຂົາຖືກປຸງແຕ່ງແລະເກັບຮັກສາໄວ້.

"ສົນທະນາ" ກັບລະບົບ AI ບໍ່ພຽງແຕ່ເປັນການຖາມຄໍາຖາມເລັກນ້ອຍເພື່ອຄວາມສະດວກເທົ່ານັ້ນ, ແຕ່ຍັງສາມາດເປີດເຜີຍສະຖານທີ່, ນິໄສ, ອາລົມ, ຫຼືແມ້ກະທັ້ງຂໍ້ມູນບັນຊີຂອງເຈົ້າໂດຍບໍ່ໄດ້ຕັ້ງໃຈ.

ຢູ່​ຫວຽດ​ນາມ, ປະ​ຊາ​ຊົນ​ຈໍາ​ນວນ​ຫຼາຍ​ຄຸ້ນ​ເຄີຍ​ກັບ​ການ​ນໍາ​ໃຊ້ AI ໃນ​ໂທລະ​ສັບ​ແລະ​ຄອມ​ພິວ​ເຕີ​ໂດຍ​ບໍ່​ມີ ​ຄວາມ​ຮູ້​ພື້ນ​ຖານ​ຂອງ​ຄວາມ​ປອດ​ໄພ​ດິ​ຈິ​ຕອນ ​. ຫຼາຍຄົນແບ່ງປັນຂໍ້ມູນສ່ວນຕົວກັບ AI ເພາະວ່າພວກເຂົາເຊື່ອວ່າ "ມັນເປັນພຽງແຕ່ເຄື່ອງຈັກ". ແຕ່ໃນຄວາມເປັນຈິງແລ້ວ, ທາງຫລັງຂອງມັນແມ່ນລະບົບທີ່ສາມາດບັນທຶກ, ຮຽນຮູ້ແລະສົ່ງຂໍ້ມູນໄປບ່ອນອື່ນ, ໂດຍສະເພາະໃນເວລາທີ່ເວທີ AI ມາຈາກພາກສ່ວນທີສາມແລະຍັງບໍ່ໄດ້ຮັບການທົດສອບຢ່າງຊັດເຈນກ່ຽວກັບຄວາມປອດໄພ.

ເພື່ອຈຳກັດຄວາມສ່ຽງ, ຜູ້ໃຊ້ບໍ່ຈຳເປັນຕ້ອງຍອມແພ້ເທັກໂນໂລຢີ, ແຕ່ຕ້ອງລະວັງໃຫ້ຫຼາຍຂຶ້ນຄື: ຄວນກວດກາຢ່າງຮອບຄອບວ່າແອັບພລິເຄຊັນ AI ທີ່ເຂົາເຈົ້າໃຊ້ຢູ່ນັ້ນມີແຫຼ່ງທີ່ໜ້າເຊື່ອຖືຫຼືບໍ່, ຂໍ້ມູນຖືກເຂົ້າລະຫັດຫຼືບໍ່ ແລະ ໂດຍສະເພາະ ບໍ່ຄວນແບ່ງປັນຂໍ້ມູນລະອຽດອ່ອນ ເຊັ່ນ: ໝາຍເລກບັດປະຈຳຕົວ, ບັນຊີທະນາຄານ, ຂໍ້ມູນສຸຂະພາບ... ດ້ວຍລະບົບ AI ໃດໆ ໂດຍບໍ່ໄດ້ຮັບການເຕືອນຢ່າງຈະແຈ້ງ.

ຄືກັນກັບເວລາທີ່ອິນເຕີເນັດເກີດຄັ້ງທໍາອິດ, AI ຍັງຕ້ອງການເວລາທີ່ຈະສົມບູນແບບແລະໃນໄລຍະເວລານັ້ນ, ຜູ້ໃຊ້ຄວນຈະເປັນຜູ້ທໍາອິດທີ່ຈະປົກປ້ອງຕົນເອງຢ່າງຈິງຈັງ.