Copilot Bağlantılarına Dikkat: Verileriniz Risk Altında Olabilir

Microsoft Copilot Kullanıcılarına Uyarı: Yanlış Bağlantı Verilerinizi Tehlikeye Atabilir

Microsoft’un yapay zeka destekli asistanı Copilot, e-posta yazma, belge özetleme ve soruları yanıtlama gibi konularda kolaylık sağlamasıyla biliniyor. Ancak güvenlik araştırmacıları, kötü niyetli bir bağlantının tıklanmasıyla kişisel verilerin gizliliğinin tehlikeye girebileceği konusunda uyarıda bulundu.

Varonis adlı güvenlik araştırma şirketi tarafından yapılan yeni bir keşif, saldırganların bir Copilot oturumunu ele geçirebileceğini ve kullanıcıların farkında olmadan verileri sızdırabileceğini gösteriyor. Copilot, kullanıcının Microsoft hesabıyla bağlantılı olduğu için, saldırganlar aktif oturumu kullanarak arka planda verilere erişebilir.

Reprompt Saldırı Yöntemi Nasıl Çalışıyor?

Gizli Talimatlar İçerdiği Bağlantılar

Varonis araştırmacıları, “Reprompt” olarak adlandırılan yeni bir saldırı yöntemini ortaya çıkardı. Bu yöntem, normal görünümlü bir Copilot bağlantısına gizli talimatlar yerleştirerek, yapay zekayı kullanıcı adına işlemler yapmaya yönlendirme şeklini gösteriyor. Saldırı, tek bir tıklamayla başlıyor. E-posta veya mesaj yoluyla gönderilen özel olarak hazırlanmış bir Copilot bağlantısı açıldığında, Copilot otomatik olarak bağlantının içindeki gizli talimatları işliyor. Kullanıcının herhangi bir program yüklemesine veya uyarı mesajı görmesine gerek yok.

Çoklu Aşamalı Veri Sızdırma

Copilot, web adresindeki bir parametre aracılığıyla soruları kabul ediyor. Saldırganlar, bu adrese talimatları gizleyerek sayfa yüklendiğinde Copilot’un bunları çalıştırmasını sağlayabiliyor. Copilot’un veri sızıntılarını engellemek için güvenlik önlemleri olsa da, araştırmacılar bu önlemleri aşmak için çeşitli teknikler kullanmış. Bunlar arasında, doğrudan bağlantı aracılığıyla talimat enjekte etmek, Copilot’un aynı işlemi iki kez yapmasını sağlamak ve saldırgan tarafından kontrol edilen uzak bir sunucudan ek talimatlar almak yer alıyor. Bu sayede, Copilot arka planda saldırgan için çalışmaya devam ediyor ve veriler parçalar halinde dışarı gönderiliyor.

Microsoft’un Tepkisi ve Çözüm

Varonis, sorunu sorumlu bir şekilde Microsoft’a bildirdi ve şirket, bu durumu Ocak 2026 Patch Tuesday güncellemeleriyle düzeltti. Saldırı yönteminin gerçek dünyada kullanıldığına dair bir kanıt bulunmuyor. Ancak bu araştırma, yapay zeka asistanlarının erişimi, hafızası ve kullanıcılar adına işlem yapabilme yeteneği gibi özelliklerin, güvenlik önlemleri başarısız olduğunda risk oluşturabileceğini gösteriyor.

Microsoft sözcüsü, Varonis Threat Labs’e sorunu sorumlu bir şekilde bildirdiği için teşekkür etti ve “Bu senaryoyu ele alan korumaları yayınladık ve savunma derinliği yaklaşımımızın bir parçası olarak benzer tekniklere karşı ek önlemler uyguluyoruz” şeklinde bir açıklama yaptı.

Kişisel Verilerinizi Güvende Tutmak İçin Alınabilecek Önlemler

• Şüpheli bağlantılara tıklamaktan kaçının.
• E-posta veya mesajlardaki bilinmeyen kaynaklardan gelen Copilot bağlantılarına dikkat edin.
• Copilot’un kullandığı hesapta hassas bilgileri sınırlı tutun.
• Yazılımınızı güncel tutun ve güvenlik yamalarını düzenli olarak uygulayın.
• Copilot’un izinlerini ve erişimlerini gözden geçirin.
• İki faktörlü kimlik doğrulamayı etkinleştirin.
• Düzenli olarak hesaplarınızı ve etkinliklerinizi kontrol edin.

Bu sorun yalnızca Copilot Personal’ı etkilemiştir. İşletmeler tarafından kullanılan Microsoft 365 Copilot, denetim, veri kaybı önleme ve yönetici kontrolleri gibi ek güvenlik katmanlarına sahiptir.

Haberin Diğer Kareleri