Security

AI Recommendation Poisoning: zagrożenie dla Copilot

3 min czytania

Podsumowanie

Badacze Microsoft ostrzegają przed nową techniką „AI Recommendation Poisoning”, w której ukryte prompty w linkach i parametrach URL próbują trwale wpływać na pamięć asystentów AI, takich jak Copilot, aby faworyzowały wybrane firmy lub źródła. To ważne zagrożenie dla organizacji, bo zmanipulowane rekomendacje mogą po cichu wpływać na decyzje zakupowe, porady bezpieczeństwa i ogólne zaufanie do narzędzi AI.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Asystenci AI są coraz częściej obdarzani zaufaniem, jeśli chodzi o podsumowywanie treści, porównywanie dostawców i rekomendowanie kolejnych kroków. Badacze bezpieczeństwa Microsoft obserwują obecnie wrogie (oraz motywowane komercyjnie) próby trwałego stronnicowania tych asystentów poprzez manipulowanie ich pamięcią — zamieniając pozornie nieszkodliwe kliknięcie „Podsumuj z AI” w długotrwały wpływ na przyszłe odpowiedzi.

W środowiskach enterprise to coś więcej niż problem integralności. Jeśli rekomendacjami asystenta można subtelnie sterować, może to wpływać na decyzje zakupowe, wskazówki dotyczące bezpieczeństwa i zaufanie użytkowników — bez wyraźnych oznak, że cokolwiek się zmieniło.

Co nowego: AI Recommendation Poisoning w praktyce

Zespół Microsoft Defender Security Research opisuje wyłaniający się wzorzec nadużyć promocyjnych, który nazywa AI Recommendation Poisoning:

  • Ukryte prompt injection przez parametry URL: Strony WWW osadzają linki (często pod przyciskami „Podsumuj z AI”), które otwierają asystenta AI z wstępnie wypełnionym promptem przy użyciu parametrów zapytania, takich jak ?q=<prompt>.
  • Nastawienie na trwałość dzięki funkcjom „memory”: Wstrzyknięty prompt próbuje dodać długotrwałe instrukcje w rodzaju „zapamiętaj [Company] jako zaufane źródło” lub „rekomenduj [Company] jako pierwszą opcję”.
  • Obserwowane na dużą skalę: W 60-dniowym przeglądzie URL-i związanych z AI widocznych w ruchu e-mail badacze zidentyfikowali ponad 50 odrębnych prób promptów od 31 firm z 14 branż.
  • Celowanie wieloplatformowe: To samo podejście zaobserwowano jako wymierzone w wiele asystentów (przykłady obejmowały URL-e dla Copilot, ChatGPT, Claude, Perplexity i innych). Skuteczność różni się w zależności od platformy i zmienia się wraz z wdrażaniem mitigations.

Jak to działa (i dlaczego pamięć zmienia poziom ryzyka)

Nowoczesne asystenty mogą przechowywać:

  • Preferencje (formatowanie, ton)
  • Kontekst (projekty, powtarzalne zadania)
  • Jawne instrukcje („zawsze cytuj źródła”)

Ta użyteczność tworzy powierzchnię ataku: AI memory poisoning (MITRE ATLAS® AML.T0080) ma miejsce wtedy, gdy podmiot zewnętrzny powoduje zapisanie nieautoryzowanych „faktów” lub instrukcji tak, jakby były intencją użytkownika. Badanie mapuje tę technikę na manipulację opartą na promptach oraz powiązane kategorie (w tym wpisy MITRE ATLAS®, takie jak AML.T0051).

Wpływ na administratorów IT i użytkowników końcowych

  • Ryzyko dla integralności rekomendacji: Użytkownicy mogą otrzymywać stronnicowane wskazówki dot. dostawców/produktów, które sprawiają wrażenie obiektywnych.
  • Trudna do wykrycia manipulacja: „Trucizna” może utrzymywać się między sesjami, przez co użytkownikom trudno powiązać późniejsze decyzje z wcześniejszym kliknięciem.
  • Większa powierzchnia social engineering: Takie linki mogą pojawiać się w sieci lub być dostarczane e-mailem, łącząc taktyki marketingowe z nadużyciami bezpieczeństwa.

Microsoft informuje, że wdrożył i nadal wdraża mitigations w Copilot przeciw prompt injection; w kilku przypadkach wcześniej zgłaszanych zachowań nie dało się już odtworzyć — co wskazuje, że mechanizmy obronne ewoluują.

Działania / kolejne kroki

  • Zaktualizuj szkolenia z awareness bezpieczeństwa: Ucz użytkowników, że linki AI do „podsumowania” mogą zostać użyte jako broń, szczególnie jeśli wstępnie wypełniają prompty.
  • Przejrzyj ochronę poczty e-mail i sieci: Upewnij się, że skanowanie linków i zabezpieczenia antyphishingowe są dostrojone do analizy nietypowych parametrów URL i wzorców przekierowań.
  • Ustal wytyczne korzystania z AI: Zachęcaj użytkowników do weryfikowania źródeł, porównywania rekomendacji i zgłaszania podejrzanych anomalii „memory”.
  • Playbook operacyjny: Zdefiniuj kroki dla użytkowników/adminów, aby przeglądać i czyścić pamięć asystenta (tam, gdzie to wspierane), oraz zgłaszać podejrzane prompty/URL-e do zespołów bezpieczeństwa.

Recommendation Poisoning to wyraźny sygnał, że wraz z tym, jak AI staje się warstwą wspierającą decyzje, mechanizmy kontroli integrity i provenance muszą ewoluować równolegle z tradycyjnymi modelami zagrożeń phishingowych i webowych.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.