Microsoft 的自动聊天机器人创建工具 Copilot Studio 的企业使用量自发布不到九个月前以来已大幅增长 。但是,尽管为任何人打开了创建所谓的“副驾驶”的闸门,但默认情况下,使用该服务创建或修改的所有机器人都不是安全的。
安全研究员 Michael Bargury 如是说,他是 Microsoft Azure 安全 CTO 办公室的前高级安全架构师,现在是 OWASP 低代码/无代码 10 大安全风险项目的项目负责人,也是 Zenity 的首席技术官。
周三在拉斯维加斯举行的Black Hat USA大会上 ,Bargury展示了开发人员如何在不知不觉中构建出无意中泄露数据或绕过策略和数据丢失预防控制的副驾驶。
“使用这个无代码工具非常非常容易犯错误,并将严重的安全漏洞引入副驾驶,”Bargury 告诉 Dark Reading。“实际上,把所有事情都做好是非常困难的,因为有很多方法可以把它弄错。
快速采用 Copilot Studio
拖放式、基于向导的 Copilot 创建工具可供 Microsoft 365 生产力套件的所有用户使用,并迅速为业务线中的高级用户引入了一种简单的方法来创建 Copilot 或 AI 助手,这些助手旨在自动化工作流程并实现更高效的会议,以及其他功能。
Copilot Studio 的加入进一步使客户能够扩展这些机器人的功能并构建自定义副驾驶。
在 7 月 30 日的 Microsoft 2024 财年第四季度财报电话会议上,董事长兼首席执行官萨蒂亚·纳德拉 (Satya Nadella) 吹捧说,上一季度 Copilots 的使用量增长了 60%。使用Copilot Studio的组织数量在上个季度增长了70%,达到50,000家商店,包括Carnival,Cognizant,Eaton,KPMG,Majesco和McKinsey。
初始版本是“过度许可”
Bargury 发现的一些初始问题包括 Copilot Creator 创建的 copilot 机器人的默认设置。具体来说,许多机器人可以公开访问,而无需身份验证。此外,他们可以轻松地冒充用户。
“你可以创建一个副驾驶,将你的身份融入其中,”他解释道。“现在,我在没有登录的情况下通过互联网与那个副驾驶交谈,我正在使用你的身份。这太过分了。
Bargury 说,在 Copilot Studio 发布后,他发现了各种其他安全漏洞。例如,尝试创建设计用于呼叫公共 SharePoint 站点的副驾驶的人也可以点击同一网络上的专用 SharePoint 站点。由于副驾驶很容易在组织外部被发现,因此他们可能成为远程攻击的渠道。
Bargury 说:“我可以在网上搜索开放的 Copilot Studio 机器人,我们找到了数以万计的机器人。“然后,我可以用人工智能对这些副驾驶进行模糊处理,找出我可以与哪些副驾驶交谈,并找出它是否愿意与我交谈,以及它可以执行什么样的信息和操作。然后我就可以从他们那里获取信息。
他说,Microsoft已经解决了这些问题,并引入了新的管理员控制措施,旨在消除无意中创建不安全操作的能力,例如允许管理员禁止用户创建可以公开共享的机器人。管理员应更新其实现以保护其组织。
低代码和聊天机器人:平衡生产力和安全性
Microsoft Copilot 和类似机器人的吸引力在于,它们使用户能够提高工作效率,并且可以自动执行许多日常任务。但正如这项研究所表明的那样,它们也可能是组织内部的薄弱环节。Bargury 表示,他相信 Microsoft 致力于确保 Copilot Studio 从现在开始具有更好的安全性。
“我认为他们将继续投资,赋予管理员更多的控制权,”他说。“但他们处在一个艰难的境地,因为他们需要在生产力与安全性之间取得平衡。我们知道天平在哪里结束。Microsoft 有很多不同的组织,但推动 Copilots Studio 向前发展的组织是由增长和采用驱动的,而不是由安全性驱动的。
在他的 Black Hat 会议中,Bargury 还演示了 CopilotHunter,这是 Microsoft 低代码/无代码 Power Platform 的 Power Pwn 安全工具集的新模块,可扫描打开的 Copilot Studio 机器人并对其进行模糊测试以访问它们背后的数据。它可以在 GitHub 上找到。
打破 Copilot Studio 的 15 种方法
在他的结论中,Bargury 分解了他发现的 15 个安全问题 Copilot Security.
-
不可靠和不受信任的输入
-
多种数据泄露场景
-
过度共享敏感数据
-
意外的执行路径
-
意外的执行路径和操作
-
数据流出组织的合规性和地理边界之外
-
敏感数据超共享和泄露
-
破坏性的、不可预测的副驾驶行为
-
超出范围的访问
-
获得意外的数据访问权限
-
硬编码凭据可能会作为副驾驶答案的一部分提供
-
通过渠道过度共享副驾驶访问权限
-
未经身份验证的聊天
-
与成员过度分享副驾驶所有权
-
与客人过度分享副驾驶所有权(以及更多)
发表评论
您还未登录,请先登录。
登录