微Copilot被控成安「盲」 恐敏案外流查
Copilot for M365漏洞允使用者(包括意的部人)在存取互敏案,官方的稽核日不留下任何。
微(Microsoft)旗下的人工智慧助理Copilot for M365重大安漏洞!安研究人揭露,漏洞允使用者(包括意的部人)在存取互敏案,官方的稽核日(Audit logs)不留下任何。
目前微已修此漏洞,但官方定不布正式的 CVE(漏洞暴露),也不主通知客,多企在意中,面安不完整的。
[caption id="attachment_189069" align="aligncenter" width="1600"]
Copilot for M365的安漏洞久前就已被爆出,但有理。(/微)[/caption]
一指令,企安防形同
安公司 Pistachio研究人,在正常情下,使用者要求Copilot摘要某案,此行被在M365的稽核日中,是企安控合性的功能。
然而,研究人,只要在Copilot的指令中,加入一要求其不提供原始案考的命令,位AI助理就行摘要任,不任何日。意味著,心不的工在前,可以利用漏洞易地取密料、智慧或人,不留下任何可追的痕。
於金融、等高度管的而言,漏洞的影尤重,因些行高度依稽核日足HIPAA等法要求。
微被批缺乏透明度,漏洞曾被未修
名於2025年7月4日此漏洞的研究人表示,微安全中心(MSRC)的通程令人沮且不透明。他,微有公的漏洞回,但微在正式回前,就悄悄地始修漏洞,也有清楚的去通。
最,微此漏洞定「重要(Important)」,在8月17日上架修程式。微告知研究人,因修程式是自推送到使用者端,因此不布CVE。但法微自己的政策相矛盾,因微的政策未定自更新就不需要布CVE。
更令人的是,微有公揭露此漏洞的。定引了外界的烈批,因代表客不被告知,他在8月18日之前的稽核日可能存在重大缺陷。
安公司 Zenity 的技克巴格里(Michael Bargury)透露,他早在一年多前就回了完全相同的,但一直未被修。
篇文章 微Copilot被控成安「盲」 恐敏案外流查 最早出於 科技-掌握科技新、科技最新。
- 者:敬
- 更多科技新 »
