Microsoft’un yeni nesil yapay zeka platformu olan Copilot Studio, önemli bir güvenlik açığıyla gündeme geldi. DarkReading adlı teknoloji medyası, yayımladığı bir blog yazısında, Copilot Studio’nun sunucu tarafı istek sahteciliği (SSRF) olarak bilinen bir güvenlik açığına sahip olduğunu duyurdu. Bu açık, platformun bulut ortamındaki hassas verileri sızdırmasına neden olabiliyor. Peki, bu ne anlama geliyor? Detaylar haberimizde…
Microsoft Copilot Studio AI aracında kritik güvenlik açığı: Hassas bulut verileri her an sızdırılabilir
Copilot Studio, Microsoft’un sunduğu uçtan uca konuşma tabanlı bir yapay zeka platformu olarak tanıtılıyor. Kullanıcılar, bu platform üzerinden doğal dil veya grafiksel arayüz kullanarak asistanlar oluşturabiliyor ve özelleştirebiliyorlar. AI Studio, bu sayede hem dahili hem de harici senaryolara uyacak şekilde tasarımlar yapılmasına olanak tanıyor.
Ancak, Tenable tarafından yapılan araştırmalar, bu platformda önemli bir güvenlik açığı buldu. Araştırmacılar, bu açığı kullanarak dış HTTP istekleri gönderip Microsoft’un bulut altyapısındaki iç hizmetlerle ilgili hassas bilgilere erişmeyi başardılar. Erişilen bu bilgiler arasında, örneğin Microsoft’un Cosmos DB veritabanı örnekleri ve örnek meta veri hizmeti (IMDS) gibi kritik veriler bulunuyor.
Copilot AI, kötü niyetli saldırganlar tarafından manipüle edilerek Microsoft şirketinin sırlarını elde etmede köprü görevi görebilir.
Bu güvenlik açığı, Microsoft tarafından CVE-2024-38206 koduyla izleniyor. İlgili güvenlik bültenine göre, doğrulanmış saldırganlar, Microsoft Copilot Studio’nun SSRF korumalarını atlayarak bulut tabanlı hassas bilgileri ağ üzerinden sızdırabiliyorlar.
Microsoft’un güvenlik açıklarına karşı duyarlılığı biliniyor ve bu tür olaylarda hızlı müdahalelerde bulunuyor. Ancak bu olay, bulut tabanlı hizmetlerin güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Siz ne düşünüyorsunuz? Görüşlerinizi aşağıdaki yorumlar kısmına yazabilirsiniz.
