چگونه SearchLeak داده‌های سازمانی را از طریق Copilot می‌دزدد؟

اگر امروز برای کارهای سازمانی از مایکروسافت کوپایلوت (Microsoft Copilot) استفاده می‌کنید، یک لینک مخرب کافی است تا ایمیل‌های خصوصی یا کدهای تأیید دو مرحله‌ای شما به دست هکرها بیفتد. این یک فریب ساده یا فیشینگ نیست؛ بلکه یک نقص ساختاری در نحوه پردازش داده‌ها توسط هوش مصنوعی پیش از فعال شدن فیلترهای امنیتی است.

این آسیب‌پذیری درست زمانی رخ می‌دهد که شرکت‌ها در حال ادغام عمیق‌تر هوش مصنوعی در لایه‌های داده‌ای خود هستند. در واقع، قابلیت جست‌وجوی مدل در اسناد داخلی سازمان به یک نقطه ضعف تبدیل شده است. تصور کنید یک دستیار دیجیتال آن‌قدر مشتاق کمک است که بدون فکر کردن، کلیدهای مخفی شما را به یک غریبه می‌دهد.

همان‌طور که در تحلیل‌های قبلی ما درباره‌ی امنیت مدل‌های زبانی اشاره کردیم، مرز بین «کاربرد» و «دسترسی» در این سیستم‌ها بسیار باریک است. به گزارش شرکت وارونیس (Varonis)، این حمله که SearchLeak نام دارد، از طریق «تزریق پارامتر به پرامپت» عمل می‌کند. در این روش، مهاجم لینکی را می‌فرستد که حاوی دستورات خاص برای مدل است. این نوع دست‌کاری در دستورات، یادآور تلاش‌های پیچیده‌تر برای دور زدن سیستم‌هاست، مشابه آنچه در متد «حلقهٔ هکر-اصلاح‌گر» برای حذف تقلب در بنچمارک‌های عامل‌محور مشاهده شد.

طبق مستندات این پژوهش، ترتیب فنی حمله به این صورت است:

• کوپایلوت پاسخ را در قالب HTML خام تولید می‌کند، پیش از آنکه لایه‌های امنیتی فعال شوند.
• مرورگر تگ <img> را اجرا کرده و یک درخواست HTTP به سرور هکر می‌فرستد.
• برای دور زدن محدودیت‌های سایت، اکسپلویت از بینگ (Bing) — شبیه به یک پله‌ی میانی برای عبور از دیوار امنیتی — استفاده می‌کند تا درخواست را به دامنه مهاجم هدایت کند.
• این مسیر باعث خروج عناوینی از ایمیل‌ها، دعوت‌نامه‌های جلسات و فایل‌های شیرپوینت (SharePoint) می‌شود.

این یعنی «دایره تخریب» فقط به داده‌های شخصی محدود نیست. چون هدف، نسخه‌های سازمانی است، مهاجم می‌تواند هر سندی را که کاربر اجازه دسترسی به آن را دارد، استخراج کند. مشکل اصلی یک «شکاف زمانی» است: فیلتر امنیتی تنها پس از مرحله‌ «تفکر» مدل فعال می‌شود، اما مرورگر درخواست مخرب HTML را در لحظه تولید متن (Streaming) اجرا می‌کند. این نوع رفتارهای غیرمنتظره در مدل‌ها، شباهت زیادی به پدیده‌ی Reward Hacking دارد که در سازوکار PRIME برای شناسایی نشانه‌های پنهان تقلب مورد بررسی قرار گرفت.

مایکروسافت این حفره‌های خاص را در سه‌شنبه ۱۷ ژوئن ۲۰۲۶ مسدود کرد. اما چون ریشه اصلی تزریق پرامپت هنوز حل نشده است، این یک جنگ دائمی میان گربه و موش خواهد بود.

گام بعدی شما

• تنظیمات دسترسی M365 را بازبینی کنید تا کاربران دسترسی بیش از حد به دایرکتوری‌های حساس شیرپوینت نداشته باشند.
• از کاربران سازمان بخواهید روی لینک‌های ناشناس، حتی در محیط‌های چت AI کلیک نکنند.
• گزارش‌های دوره‌ای دسترسی به داده‌های حساس را بررسی کنید.

این تنها بخشی از چالش‌های امنیتی است؛ اثرات گسترده‌تر تزریق پرامپت بر مدل‌های بازمتن را در گزارش بعدی بررسی خواهیم کرد.