Microsoft’un yeni yapay zeka platformu Copilot Studio, önemli bir güvenlik açığı ile gündeme geldi. DarkReading’in haberine göreyapay zekanın sunucu tarafı istek sahteciliği (SSRF) adı verilen bir güvenlik açığı içerdiği ortaya çıktı. Bu açık, platformun bulut ortamındaki hassas verilere yetkisiz erişim sağlanmasına neden olabiliyor.
Copilot Studio’daki Güvenlik Açığı ve Potansiyel Riskler
Bu yapay zeka Microsoft’un uçtan uca konuşma tabanlı yapay zeka platformu olarak tanıtılıyor ve kullanıcılarına doğal dil veya grafiksel arayüz aracılığıyla asistanlar oluşturma imkanı sunuyor. Bu platform, hem iç hem de dış senaryolar için özelleştirilebilir tasarımlar yapma yeteneği sağlıyor.
Ancak, Tenable tarafından yapılan araştırmalar, Copilot Studio’da önemli bir güvenlik açığı tespit etti. Araştırmacılar, bu açığı kullanarak dış HTTP istekleri gönderip Microsoft’un bulut altyapısındaki iç hizmetlere dair hassas bilgilere erişebildiler. Erişilen veriler arasında Microsoft’un Cosmos DB veritabanı örnekleri ve meta veri hizmetleri gibi kritik bilgiler yer alıyor.
Copilot, Kötü Niyetli Saldırganlar Tarafından Kullanılabilir
Bu güvenlik açığı, kötü niyetli kişiler tarafından Microsoft’un iç bilgilerine ulaşmak için kullanılabilir. Açık, Microsoft tarafından CVE-2024-38206 koduyla izleniyor ve doğrulanmış saldırganların, Copilot Studio’nun SSRF korumalarını aşarak bulut tabanlı hassas bilgileri sızdırabilmesine olanak tanıyor.
Microsoft, güvenlik açıklarına karşı duyarlılığı ile biliniyor ve bu tür durumlarda genellikle hızlı müdahale ediyor. Ancak, bu olay, bulut tabanlı hizmetlerin güvenliğinin önemini bir kez daha gözler önüne serdi.
”HADİ ile 5 Ayda 300 Milyon TL’yi Aşan Veresiye Alışveriş” haberine buradan ulaşabilirsiniz.
