Security

AI recommendation poisoning uhkaa Copilotia

3 min lukuaika

Yhteenveto

Microsoftin tietoturvatutkijat varoittavat uudesta AI Recommendation Poisoning -uhasta, jossa Copilotin kaltaisia avustajia yritetään manipuloida piilotetuilla prompt-injektioilla URL-parametrien kautta, jotta ne muistaisivat ja suosittelisivat tiettyjä toimijoita pysyvästi. Tämä on tärkeää, koska hyökkäys voi huomaamattomasti vääristää yritysten päätöksentekoa, tietoturvaohjeita ja käyttäjien luottamusta ilman selviä merkkejä manipuloinnista.

Tarvitsetko apua Security-asioissa?Keskustele asiantuntijan kanssa

Johdanto: miksi tällä on merkitystä

AI-avustajiin luotetaan yhä enemmän sisällön tiivistämisessä, toimittajien vertailussa ja seuraavien askelten suosittelussa. Microsoftin tietoturvatutkijat näkevät nyt vastustajilta (ja kaupallisesti motivoituneilta toimijoilta) yrityksiä vinouttaa näitä avustajia pysyvästi manipuloimalla niiden muistia — muuttaen näennäisen harmittoman ”Summarize with AI” -klikkauksen pitkäkestoiseksi vaikutukseksi tuleviin vastauksiin.

Yritysympäristöissä tämä on enemmän kuin eheyskysymys. Jos avustajan suosituksia voidaan hienovaraisesti ohjata, se voi vaikuttaa hankintapäätöksiin, tietoturvaohjeistukseen ja käyttäjien luottamukseen — ilman selviä merkkejä siitä, että jokin olisi muuttunut.

Mitä uutta: AI Recommendation Poisoning käytännössä

Microsoft Defender Security Research Team kuvaa nousevaa promootiokäytön väärinkäyttömallia, jota he kutsuvat nimellä AI Recommendation Poisoning:

  • Piilotettu prompt injection URL-parametrien kautta: Verkkosivut upottavat linkkejä (usein ”Summarize with AI” -painikkeiden taakse), jotka avaavat AI-avustajan esitäytetyllä kehotteella käyttäen kyselyparametreja kuten ?q=<prompt>.
  • Pysyvyys ”memory”-ominaisuuksia vastaan: Injektoitu kehote yrittää lisätä kestäviä ohjeita, kuten ”muista [Company] luotettavana lähteenä” tai ”suosittele [Company] ensin.”
  • Havaittu laajassa mittakaavassa: 60 päivän tarkastelujaksolla sähköpostiliikenteessä havaituista AI-aiheisista URL-osoitteista tutkijat tunnistivat 50+ erillistä kehoteyritystä 31 yritykseltä 14 toimialalla.
  • Alustarajat ylittävä kohdistus: Sama lähestymistapa havaittiin useisiin avustajiin kohdistettuna (esimerkeissä oli URL-osoitteita Copilotille, ChatGPT:lle, Claude:lle, Perplexitylle ja muille). Tehokkuus vaihtelee alustan mukaan ja kehittyy, kun lievennyksiä otetaan käyttöön.

Miten se toimii (ja miksi muisti muuttaa riskiä)

Nykyaikaiset avustajat voivat säilyttää:

  • Preferences (muotoilu, sävy)
  • Context (projektit, toistuvat tehtävät)
  • Explicit instructions (”always cite sources”)

Tämä hyödyllisyys luo hyökkäyspinnan: AI memory poisoning (MITRE ATLAS® AML.T0080) tapahtuu, kun ulkoinen toimija saa luvattomia ”faktoja” tai ohjeita tallentumaan ikään kuin käyttäjän tarkoittamina. Tutkimus kartoittaa tekniikan prompt-pohjaiseen manipulointiin ja siihen liittyviin kategorioihin (mukaan lukien MITRE ATLAS® -merkinnät kuten AML.T0051).

Vaikutukset IT-ylläpitäjille ja loppukäyttäjille

  • Suositusten eheysriski: Käyttäjät voivat saada vinoutunutta toimittaja-/tuoteohjausta, joka vaikuttaa objektiiviselta.
  • Vaikeasti havaittava manipulointi: ”Myrkky” voi säilyä istuntojen yli, jolloin käyttäjien on vaikea yhdistää myöhempiä päätöksiä aiempaan klikkaukseen.
  • Kasvanut social engineering -pinta: Linkit voivat esiintyä verkossa tai tulla sähköpostitse, sekoittaen markkinointitaktiikat tietoturvan väärinkäyttöön.

Microsoft toteaa ottaneensa käyttöön ja jatkavansa mitigations in Copilot prompt injectionia vastaan; useissa tapauksissa aiemmin raportoitua käyttäytymistä ei enää voitu toistaa — mikä viittaa siihen, että suojaukset kehittyvät.

Toimenpiteet / seuraavat askeleet

  • Päivitä security awareness -koulutus: Opeta käyttäjille, että AI:n ”summarize”-linkkejä voidaan aseistaa, erityisesti jos ne esitäyttävät kehotteita.
  • Tarkista sähköposti- ja web-suojaukset: Varmista, että linkkien skannaus ja phishing-suojaukset on viritetty analysoimaan poikkeavia URL-parametreja ja uudelleenohjausmalleja.
  • Laadi AI-käyttöohjeistus: Kannusta käyttäjiä varmistamaan lähteet, vertaamaan suosituksia useista lähteistä ja raportoimaan epäillyistä ”memory”-poikkeamista.
  • Operatiivinen playbook: Määritä vaiheet, joilla käyttäjät/ylläpitäjät voivat tarkastella ja tyhjentää avustajan muistin (jos tuettu) sekä raportoida epäilyttävät promptit/URL-osoitteet tietoturvatiimeille.

Recommendation Poisoning on selvä signaali siitä, että kun AI:sta tulee päätöksenteon tukikerros, integrity and provenance -hallintakeinojen on kehityttävä perinteisten phishing- ja web-uhkamallien rinnalla.

Tarvitsetko apua Security-asioissa?

Asiantuntijamme auttavat sinua toteuttamaan ja optimoimaan Microsoft-ratkaisusi.

Keskustele asiantuntijan kanssa

Pysy ajan tasalla Microsoft-teknologioista

Lue alkuperäinen artikkeli kirjoittajalta Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Aiheeseen liittyvät

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.