微软的人工智能可以变成自动网络钓鱼机器

微软的Copilot AI系统虽然提升了工作效率，但也为黑客提供了利用机会，研究者Michael Bargury展示了利用此系统进行自动化网络钓鱼的多种方法，包括生成伪造的电子邮件和提取敏感数据，引发了对AI系统安全性的广泛关注。这些攻击展示了在利用企业数据的同时，如何通过不受信任的数据损害AI的安全性，同时强调了加强监控和访问权限的重要性，以防范未来的安全风险。

关键点
– 微软的Copilot AI可以从电子邮件、Teams聊天和文件中提取信息，提高工作效率，但也可能被黑客利用。
– 研究者Michael Bargury在Black Hat大会上展示了五种利用Copilot进行攻击的概念验证方法。
– Bargury的“LOLCopilot”工具可以从被黑客入侵的工作邮箱中借助Copilot发送伪造的钓鱼邮件。
– 攻击者可使用Copilot提取敏感信息，如员工工资，而无需触发微软的保护措施。
– 通过向AI的数据库发送恶意邮件，攻击者也可以操控AI响应，导致提供错误的银行信息。
– Bargury强调，任何赋予AI访问数据的权利都可被攻击者利用。
– 安全研究人员呼吁对AI的输出进行更严格的监控，以降低潜在的安全风险。

https://www.wired.com/story/microsoft-copilot-phishing-data-extraction/