EchoLeak та потенційні ризики від штучного інтелекту.
Оскільки штучний інтелект (ШІ) стає невід'ємною частиною кожного завдання, від допомоги у написанні звітів та відповідях на електронні листи до аналізу даних, користувачі, здається, живуть в епоху безпрецедентної зручності. Але починає проявлятися і зворотна сторона цієї зручності, особливо в питаннях безпеки.
Нещодавня вразливість системи безпеки, що отримала назву EchoLeak, наражає користувачів сервісу Microsoft Copilot на ризик витоку конфіденційних даних без необхідності вжиття будь-яких заходів.
Коли ШІ стає вразливістю безпеки
Згідно з розслідуванням Tuoi Tre Online , EchoLeak — це нещодавно виявлена вразливість безпеки з кодом CVE-2025-32711, яку експерти оцінили як небезпечну на рівні 9,3/10 за шкалою NIST.
Експертів з безпеки турбує його «нульовий клік» : зловмисники можуть використовувати дані з Copilot без жодного кліку користувача, відкриття файлів чи навіть відома про те, що щось відбувається.
Це не проста помилка. Дослідницька група Aim Labs, яка виявила цю вразливість, вважає, що EchoLeak відображає поширений недолік проектування систем та агентів штучного інтелекту на основі RAG (генерація з доповненим пошуком). Оскільки Copilot є частиною пакету програм Microsoft 365, який містить електронні листи, документи, електронні таблиці та календарі зустрічей для мільйонів користувачів, ризик витоку даних є дуже серйозним.
Проблема полягає не лише в конкретному фрагменті коду, а й у тому, як працюють великі мови моделювання (LLM). Штучному інтелекту потрібен великий контекст для надання точних відповідей, і тому йому надається доступ до величезних обсягів фонових даних. Без чіткого контролю над потоком вводу-виводу, ШІ можна повністю маніпулювати без відома користувача. Це створює новий вид «бекдору» не через вразливість у коді, а тому, що ШІ поводиться поза межами людського розуміння.
Microsoft швидко випустила патч, і поки що жодних фактичних втрат не повідомлялося. Але урок EchoLeak очевидний: коли штучний інтелект глибоко інтегрований у робочі системи, навіть невелика помилка в тому, як він розуміє контекст, може призвести до серйозних наслідків для безпеки.
Чим зручнішим стає штучний інтелект, тим вразливішими стають персональні дані.
Інцидент з EchoLeak порушує тривожне питання: чи не надто довіряють користувачі штучному інтелекту, не усвідомлюючи, що їх можуть відстежувати або розкривати їхню особисту інформацію після лише одного повідомлення? Нещодавно виявлена вразливість, яка дозволяє хакерам непомітно витягувати дані без натискання користувачем будь-яких кнопок, колись бачена лише у науковій фантастиці, але тепер стала реальністю.
Хоча додатки штучного інтелекту стають дедалі популярнішими, від віртуальних помічників, таких як Copilot, та чат-ботів у банківській справі та освіті до платформ штучного інтелекту для написання контенту та обробки електронної пошти, більшість людей не попереджають про те, як обробляються та зберігаються їхні дані.
«Спілкування» з системою штучного інтелекту – це вже не просто надсилання кількох зручних запитань; воно може ненавмисно розкрити ваше місцезнаходження, звички, емоції чи навіть інформацію про обліковий запис.
У В'єтнамі багато людей знайомі з використанням штучного інтелекту на своїх телефонах і комп'ютерах, не маючи базових знань про цифрову безпеку . Багато хто ділиться особистою інформацією зі штучним інтелектом, вважаючи, що «це просто машина». Однак насправді за цим стоїть система, здатна записувати, навчатися та передавати дані в інші місця, особливо коли платформа штучного інтелекту надходить від третьої сторони та не пройшла ретельну перевірку на безпеку.
Щоб зменшити ризики, користувачам не обов'язково відмовлятися від технологій, але їм потрібно бути більш усвідомленими: вони повинні ретельно перевіряти, чи походять додатки штучного інтелекту, які вони використовують, з надійного джерела, чи зашифровані дані, і, особливо, вони не повинні ділитися конфіденційною інформацією, такою як номери посвідчень особи, реквізити банківських рахунків, медична інформація тощо, з будь-якою системою штучного інтелекту без чіткого попередження.
Як і коли вперше з'явився інтернет, штучному інтелекту також потрібен час для розвитку, і протягом цього часу користувачі повинні першими проактивно захищати себе.
Ви коли-небудь ділилися занадто великою кількістю інформації зі штучним інтелектом?
Під час введення таких команд, як «перепишіть цей звіт для мене, але більш м’яко» або «підсумуйте вчорашню зустріч», багато людей не усвідомлюють, що вся інформація, яку вони вводять, включаючи внутрішні деталі, особисті почуття чи робочі звички, може бути записана штучним інтелектом. Ми звикаємо до взаємодії з інтелектуальними інструментами, забуваючи про межу між зручністю та конфіденційністю.
Джерело: https://tuoitre.vn/lo-hong-bao-mat-trong-microsoft-copilot-canh-bao-moi-ve-nguy-co-ro-ri-du-lieu-tu-ai-20250620103045262.htm
Коментар (0)