Una recente ricerca, presentata alla conferenza di Las Vegas “Black Hat” ha evidenziato come Microsoft Copilot è vulnerabile a diversi attacchi informatici. A scoprire tale vulnerabilità è stato il ricercatore Michael Bargury che evidenziato cinque potenziali metodi in cui il sistema AI può essere manipolato. Ogni volta che gli utenti Microsoft permettono a Copilot di accedere ai propri dati viene creato un possibile punto di ingresso per malintenzionati e cybercriminali.
Nello specifico, la ricerca presentata evidenzia anche i rischi relativi all’integrazione di sistemi AI con dati di tipo aziendale.
Microsoft Copilot può aprire le porte ad attacchi hacker?
Bargury ha evidenziato diversi scenari e sono tutti potenzialmente preoccupanti. Il primo si basa sulla possibilità di trasformare Copilot in uno strumento per lo spear-phishing. In tal modo, i cybercriminali con accesso ad un account aziendale può sfruttare il modello AI di Microsoft per analizzare i contatti dell’utente, generare e-mail imitando il modo di scrivere delle vittime ed inviare messaggi con link malevoli.
E non è tutto. Con tali modalità è possibile eludere i sistemi di sicurezza di Microsoft per accedere ad informazioni sensili e manipolare le risposte AI diffondendo dati falsi e ottenere dettagli sulle comunicazioni finanziarie delle aziende.
La ricerca di Bargury evidenzia l’importanza di una maggiore attenzione sull’AI e il suo utilizzo nel settore aziendale. L’intelligenza artificiale propone diverse automazioni, ma è sempre importante ricordare che bisogna controllarla per evitare che possa fornire informazioni scorrette. Inoltre, come visto, l’AI può essere utilizzata come strumento di phishing, ecco perché deve essere costantemente sotto controllo.
A tal proposito, Phillip Misner, responsabile della risposta agli incidenti AI di Microsoft, ha dichiarato che dopo aver ricevuto la comunicazione di Bargury, l’azienda si è messa all’opera per valutare i risultati ottenuti dalla ricerca. Inoltre, ha ribadito l’importanza della prevenzione e del monitoraggio della sicurezza dei propri sistemi.
