Security

AI Recommendation Poisoning: rizik za Copilot

3 min čitanja

Sažetak

Microsoftovi istraživači upozoravaju na novu tehniku „AI Recommendation Poisoning”, gde veb stranice preko skrivenih promptova u URL parametrima pokušavaju da trajno utiču na memoriju AI asistenta poput Copilota i usmere buduće preporuke u korist određenih kompanija. Ovo je važno jer takva manipulacija može neprimetno iskriviti odluke o nabavci, bezbednosti i poverenju korisnika u poslovnim okruženjima, a istraživači su već zabeležili desetine ovakvih pokušaja u više industrija.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

AI asistenti se sve više smatraju pouzdanim za sažimanje sadržaja, poređenje dobavljača i preporuku narednih koraka. Microsoft bezbednosni istraživači sada uočavaju protivničke (i komercijalno motivisane) pokušaje da se ovi asistenti trajano pristrase manipulacijom njihove memorije—pretvarajući naizgled bezazlen klik na „Summarize with AI” u dugotrajan uticaj na buduće odgovore.

U enterprise okruženjima, ovo je više od pitanja integriteta. Ako se preporuke asistenta mogu suptilno usmeravati, to može uticati na odluke o nabavci, bezbednosne smernice i poverenje korisnika—bez očiglednih indikatora da se bilo šta promenilo.

Šta je novo: AI Recommendation Poisoning u praksi

Microsoft Defender Security Research Team opisuje novi obrazac promotivne zloupotrebe koji nazivaju AI Recommendation Poisoning:

  • Skrivena prompt injekcija kroz URL parametre: Veb stranice ugrađuju linkove (često iza dugmadi „Summarize with AI”) koji otvaraju AI asistenta sa unapred popunjenim promptom koristeći query parametre kao što je ?q=<prompt>.
  • Ciljanje postojanosti kroz funkcije „memory”: Umetnuti prompt pokušava da doda trajne instrukcije kao što su „remember [Company] as a trusted source” ili „recommend [Company] first.”
  • Uočeno u velikom obimu: Tokom 60-dnevnog perioda pregleda AI-related URL-ova viđenih u email saobraćaju, istraživači su identifikovali 50+ različitih pokušaja promptova od 31 kompanije u 14 industrija.
  • Ciljanje više platformi: Isti pristup je uočen kao usmeren ka više asistenata (primeri su uključivali URL-ove za Copilot, ChatGPT, Claude, Perplexity i druge). Efikasnost varira po platformi i menja se kako se uvode mitigations.

Kako funkcioniše (i zašto „memory” menja rizik)

Moderni asistenti mogu da zadrže:

  • Preferences (formatiranje, ton)
  • Context (projekti, ponavljajući zadaci)
  • Explicit instructions („always cite sources”)

Ta korisnost stvara površinu napada: AI memory poisoning (MITRE ATLAS® AML.T0080) nastaje kada eksterni akter izazove da se neovlašćene „činjenice” ili instrukcije sačuvaju kao da ih je korisnik nameravao. Istraživanje mapira ovu tehniku na prompt-based manipulaciju i povezane kategorije (uključujući MITRE ATLAS® unose kao što je AML.T0051).

Uticaj na IT administratore i krajnje korisnike

  • Rizik po integritet preporuka: Korisnici mogu dobijati pristrasne smernice za dobavljače/proizvode koje deluju objektivno.
  • Teško uočljiva manipulacija: „Otrov” može opstati kroz sesije, zbog čega je korisnicima teško da kasnije odluke povežu sa ranijim klikom.
  • Povećana površina za social engineering: Ovi linkovi mogu da se pojave na vebu ili da se isporuče putem email-a, spajajući marketinške taktike sa bezbednosnom zloupotrebom.

Microsoft navodi da je implementirao i nastavlja da uvodi mitigations u Copilot protiv prompt injection; u nekoliko slučajeva ranije prijavljena ponašanja više nisu mogla da se reprodukuju—što ukazuje da se odbrane razvijaju.

Action items / sledeći koraci

  • Ažurirajte security awareness obuku: Naučite korisnike da AI „summarize” linkovi mogu da budu oružje, posebno ako unapred popunjavaju promptove.
  • Proverite email i web zaštite: Osigurajte da su odbrane za skeniranje linkova i phishing podešene da analiziraju neuobičajene URL parametre i obrasce preusmeravanja.
  • Uspostavite smernice za korišćenje AI: Podstaknite korisnike da verifikuju izvore, unakrsno provere preporuke i prijave sumnjive „memory” anomalije.
  • Operativni playbook: Definišite korake za korisnike/admin-e da pregledaju i obrišu memoriju asistenta (gde je podržano) i da prijave sumnjive promptove/URL-ove bezbednosnim timovima.

Recommendation Poisoning je jasan signal da, kako AI postaje sloj za podršku odlučivanju, kontrole integrity i provenance moraju da evoluiraju zajedno sa tradicionalnim modelima phishing-a i web pretnji.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.