Microsoft har täppt till en allvarlig säkerhetsbrist i Copilot för Microsoft 365. Felet kunde göra det möjligt för angripare att få AI-assistenten att plocka fram känslig information från användares konto, som e-post, mötesanteckningar och i vissa fall engångskoder för tvåfaktorsinloggning.
Sårbarheten upptäcktes av säkerhetsföretaget Varonis och har fått namnet SearchLeak. Det räckte i teorin att en användare klickade på en särskilt utformad länk för att Copilot skulle kunna luras att söka efter information och skicka den vidare. Dagens AI-modeller verkar fortfarande ha svårt att skilja mellan legitima instruktioner och dolda kommandon som gömts i innehåll de analyserar.