Microsoft 365 กลับมาปลอดภัยอีกครั้ง หลังบริษัทได้ออกแพตช์แก้ไขช่องโหว่ความปลอดภัยร้ายแรงที่มีชื่อว่า EchoLeak โดยเป็นการโจมตีแบบ Zero-click ครั้งแรกของโลกที่มุ่งเป้าโจมตีผู้ช่วย AI โดยตรง
ช่องโหว่ EchoLeak ทำให้แฮกเกอร์ AI สามารถส่งอีเมลเพียงฉบับเดียวเพื่อสั่งให้ Microsoft Copilot ดึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ออกจากระบบ ไม่ว่าจะเป็นไฟล์งานสำคัญ หรือข้อมูลการสนทนา และส่งออกไปภายนอก ก่อให้เกิดความเสี่ยง ข้อมูลรั่วไหล อย่างมหาศาล โดยที่ผู้ใช้ไม่จำเป็นต้องคลิกลิงก์หรือเปิดไฟล์ใดๆ เลย
การโจมตีนี้อาศัยเทคนิคใหม่ที่เรียกว่า LLM Scope Violation ซึ่งเป็นการเจาะช่องโหว่ในการออกแบบพื้นฐานของแบบจำลองภาษาขนาดใหญ่ (LLM) ทำให้นักวิจัยกังวลว่า AI และ Chatbot อื่นๆ อาจมีความเสี่ยงในลักษณะเดียวกัน
แม้ว่า Microsoft จะใช้เวลาหลายเดือนในการแก้ไข แต่ล่าสุดได้มีการ อัปเดตความปลอดภัย ให้กับผู้ใช้ Microsoft 365 ทั่วโลกโดยอัตโนมัติแล้ว และยังไม่มีรายงานความเสียหายที่เกิดขึ้นจริง
อย่างไรก็ตาม เหตุการณ์นี้ถือเป็นสัญญาณเตือนภัยครั้งสำคัญสำหรับทุกองค์กรที่กำลังนำเทคโนโลยี AI มาปรับใช้ รวมถึงความจำเป็นในการวางมาตรการป้องกันที่รัดกุมเพื่อรับมือกับภัยคุกคามรูปแบบใหม่ๆ ในอนาคต
ที่มา
