TheNote
Copilot искал в вашем почтовом... Заметка
GooglePlay AppStore
RSS VentureBeat

Copilot искал в вашем почтовом ящике. LiteLLM раздал администраторские ключи. Проведите этот 5-этапный аудит, прежде чем ваша система станет следующей.

Два ИИ-инструмента, Microsoft 365 Copilot Enterprise Search и LiteLLM, за двухнедельный период столкнулись с критическими нарушениями безопасности, что выявило фундаментальный недостаток в корпоративном ИИ: принятие внешних входных данных без границ доверия. Уязвимость SearchLeak в Microsoft Copilot позволила утечку данных через специально созданный URL, незаметно получая доступ к почтовым ящикам пользователей и перенаправляя данные через Bing. Одновременно с этим, ряд уязвимостей в LiteLLM позволил пользователю с низкими привилегиями получить административный контроль и выполнить удаленный код, а также раскрыть все учетные данные поставщиков. Эти инциденты не единичны, предыдущие взломы Copilot и компрометация цепочки поставок, затронувшие LiteLLM, подчеркивают повторяющийся паттерн небезопасной интеграции ИИ. Дальнейшим подтверждением этой повсеместной проблемы является то, что Langflow столкнулся с третьей в этом году уязвимостью удаленного выполнения кода из-за обхода пути и настроек автоматического входа по умолчанию, что привело к массовой эксплуатации. Кампания Mini Shai-Hulud продемонстрировала другой угол атаки, где скомпрометированные пакеты npm способствовали распространению червей и сбору учетных данных. Несмотря на различные классы уязвимостей, основная слабость остается прежней: нарушенная граница доверия, допускающая несанкционированный доступ и утечку данных. Рыночные индикаторы, такие как значительный рост услуг CrowdStrike по обнаружению и реагированию на ИИ, отражают возрастающий риск и спрос на решения. Эксперты отрасли подчеркивают, что это не новые проблемы ИИ, а скорее проблемы "подключения" в том, как ИИ-системы интегрируются и управляются в рамках предприятий, подобно "теневым ИТ". Решение заключается в надежных фундаментальных практиках безопасности, включая надлежащее управление, управление учетными данными и обнаружение в реальном времени, а не только в политике.
Copilot searched your mailbox. LiteLLM handed out admin keys. Run this 5-check audit before your stack is next venturebeat.com
CdXz5zHNQW_tc4XWP5mGd.png
RSS Hunter RSS Hunter 18 июн.