Melker sensitiv data fra Copilot-botter, hevder standard­innstillinger er utrygge

– Det er faktisk veldig vanskelig å lage en trygg bot i Copilot Studio, påstod Michael Bargury under Black Hat-konferansen.

Microsoft satser på Copilot, både for forbrukere og bedrifter. Her Microsofts Yusuf Mehdi på Build. 📸: AP Photo / Lindsey Wasson / NTB
Microsoft satser på Copilot, både for forbrukere og bedrifter. Her Microsofts Yusuf Mehdi på Build. 📸: AP Photo / Lindsey Wasson / NTB Vis mer

– Det er faktisk veldig vanskelig å lage en trygg bot i Copilot Studio. Årsaken er at alle standardinnstillingene er utrygge, sa Michael Bargury til The Register i forbindelse med Black Hat-konferansen.

Bargury er CTO i Zenity, et selskap som jobber med sikkerhet for blant annet AI-løsninger og -boter i større selskaper.

Under konferansen holdt han et innlegg om Copilot Studio, og om hva en angriper kan utrette med hjelp av selskapenes Copilot-løsninger.

Blant annet å slippe inn fra utsiden, med hjelp av nettopp Copilot, gjerne i kompaniskap med en kollega som nettopp har lært seg verktøyet.

Lå tilgjengelige på nett

– Jeg kunne søke på nett etter åpne og tilgjengelig boter fra Copilot Studio. Og vi fant flere titalls tusen av dem, sier Bargury til DarkReading.com.

– Så kunne jeg gå over disse med AI, for å finne ut hvilke det var mulig for meg å snakke med, hvilken informasjon de kunne gi og hva de kunne gjøre. Så kunne jeg bare ta informasjonen fra dem, sier han videre.

I gjennomgangen forklarer Bargury også hvordan ondsinnede aktører har kunnet bruke offentlige boter, til å komme videre til «antatt interne» løsninger som Sharepoint, med tilgang på mer sensitiv informasjon.

På LinkedIn har han også delt et eksempel, som er blitt sensurert. Det er en kontrakt som tilhører et av USAs 500 største selskaper. Denne skal være hentet ut ved hjelp av en av selskapenes egne boter.

Bargury sier også at han har delt informasjon med Microsoft i forkant av at han har presentert funnene sine.

Lite jubel fra Microsoft

Microsoft annonserte denne uka at de nå skal bedømme alle ansatte på sikkerhet.

De har også kommentert arbeidet fra Bargury hos The Register:

– Vi setter pris på arbeidet til Bargury, som identifiserer og rappoprterer om disse teknikkene på en ansvarlig måte. Vi undersøker disse tilbakemeldingene, og jobber kontinuerlig med å forbedre våre systemene våre, slik at vi i forkant kan identifisere og forhindre denne typen trusler, og med det beskytte kundene våre.

– I likhet med andre teknikker som brukes etter at en løsning er kompromittert, så krever disse metodene enten manipulering av ansatte eller at systemet er kompromittert. Microsoft Security tilbyr en robust verktøykasse som kunder kan bruke mot slike risikoer.

NTNU annonserte tidligere i sommer at de neppe kom til å ta i bruk Copilot for Microsoft 365, og oppga blant annet problemene med forvaltning av løsningen. De fikk da svaret at det ikke nødvendigvis var Copilot som var problemet, i et debattinnlegg.