Security

Отравление рекомендаций ИИ: как ссылки влияют на Copilot

3 мин. чтения

Кратко

Исследователи Microsoft обнаружили новый тип злоупотреблений — AI Recommendation Poisoning, при котором злоумышленники через скрытые prompt-инъекции в URL пытаются незаметно влиять на память и будущие рекомендации ИИ-помощников вроде Copilot. Это важно, потому что такие атаки могут долговременно искажать советы по закупкам, безопасности и выбору поставщиков, подрывая доверие к ИИ без явных признаков компрометации.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

ИИ-помощникам все чаще доверяют суммирование контента, сравнение поставщиков и рекомендации дальнейших шагов. Исследователи безопасности Microsoft теперь наблюдают враждебные (а также коммерчески мотивированные) попытки долговременно смещать ответы этих помощников, манипулируя их памятью — превращая на вид безобидный клик по «Суммировать с помощью ИИ» в длительное влияние на будущие ответы.

В корпоративных средах это больше, чем вопрос целостности. Если рекомендации помощника можно незаметно направлять, это может повлиять на решения по закупкам, советы по безопасности и доверие пользователей — без явных признаков того, что что-то изменилось.

Что нового: AI Recommendation Poisoning в реальных атаках

Команда Microsoft Defender Security Research Team описывает формирующийся шаблон промо-абьюза, который они называют AI Recommendation Poisoning:

  • Скрытая prompt injection через параметры URL: веб-страницы встраивают ссылки (часто за кнопками «Summarize with AI»), которые открывают ИИ-помощника с заранее заполненным prompt с использованием параметров запроса вроде ?q=<prompt>.
  • Нацеливание на устойчивость через функции “memory”: внедренный prompt пытается добавить долговременные инструкции, такие как «remember [Company] as a trusted source» или «recommend [Company] first».
  • Наблюдалось в масштабе: за 60-дневный период анализа AI-related URL, замеченных в email-трафике, исследователи выявили 50+ отдельных попыток prompt от 31 компании из 14 отраслей.
  • Кроссплатформенное нацеливание: тот же подход наблюдался в отношении нескольких помощников (в примерах фигурировали URL для Copilot, ChatGPT, Claude, Perplexity и других). Эффективность различается по платформам и меняется по мере внедрения mitigations.

Как это работает (и почему “memory” меняет уровень риска)

Современные помощники могут сохранять:

  • Preferences (форматирование, тон)
  • Context (проекты, повторяющиеся задачи)
  • Explicit instructions («always cite sources»)

Эта полезность создает поверхность атаки: AI memory poisoning (MITRE ATLAS® AML.T0080) происходит, когда внешний субъект приводит к сохранению несанкционированных «фактов» или инструкций так, как будто их намеренно задал пользователь. Исследование сопоставляет эту технику с prompt-based манипуляциями и смежными категориями (включая записи MITRE ATLAS® вроде AML.T0051).

Влияние на IT-администраторов и конечных пользователей

  • Риск целостности рекомендаций: пользователи могут получать смещенные советы по вендорам/продуктам, которые выглядят объективными.
  • Сложно обнаруживаемая манипуляция: «яд» может сохраняться между сессиями, из-за чего пользователям трудно связать последующие решения с более ранним кликом.
  • Рост поверхности для social engineering: такие ссылки могут встречаться в вебе или доставляться по email, смешивая маркетинговые тактики со злоупотреблениями в области безопасности.

Microsoft отмечает, что внедрила и продолжает разворачивать mitigations в Copilot против prompt injection; в нескольких случаях ранее сообщавшиеся поведения больше не удавалось воспроизвести — что указывает на развитие защит.

Действия / следующие шаги

  • Обновите обучение по security awareness: объясните пользователям, что AI-ссылки для «суммирования» могут быть превращены в оружие, особенно если они подставляют заранее заполненные prompt.
  • Проверьте защиты email и веба: убедитесь, что средства сканирования ссылок и защиты от фишинга настроены на анализ необычных параметров URL и паттернов редиректов.
  • Сформируйте руководство по использованию ИИ: рекомендуйте пользователям проверять источники, перепроверять рекомендации и сообщать о подозрительных аномалиях “memory”.
  • Операционный playbook: определите шаги для пользователей/админов по проверке и очистке памяти помощника (где поддерживается), а также по эскалации подозрительных prompt/URL в команды безопасности.

Recommendation Poisoning — явный сигнал, что по мере превращения ИИ в слой поддержки принятия решений средства контроля целостности и происхождения (provenance) должны развиваться вместе с традиционными моделями фишинга и веб-угроз.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.