Попередження від Microsoft про те, що експериментальний агент штучного інтелекту Copilot, інтегрований у Windows, може заражати пристрої та викрадати чутливі дані. Лунає знайоме запитання: чому великі технологічні компанії так наполегливо впроваджують нові функції до того, як їх небезпечну поведінку буде повністю вивчено та ізольовано?
Нещодавно було представлено Copilot Actions, набір нових експериментальних агентних функцій, які після увімкнення виконують повсякденні завдання, зокрема організацію файлів, планування зустрічей або надсилання електронних листів. За описом Microsoft, ці можливості забезпечують активного цифрового помічника, здатного виконувати складні дії для підвищення ефективності та продуктивності.
Втім, презентація супроводжувалася суттєвим застереженням. Користувачам рекомендується вмикати Copilot Actions лише за умови повного розуміння пов’язаних ризиків.
Таке попередження ґрунтується на відомих недоліках великих мовних моделей, включно зі Copilot, які дослідники демонстрували неодноразово.
Одним із найпоширеніших дефектів є намагання моделей генерувати фактично помилкові та нелогічні відповіді, інколи навіть на абсолютно прості запитання. Ця схильність до вигадування, відома як галюцинації, означає, що користувачі не можуть покладатися на вихідні дані Copilot, Gemini, Claude або будь-якого іншого асистента і мають перевіряти результати самостійно.
Інша серйозна проблема – вразливість до інʼєкцій у підказки. Це клас вад, за яких зловмисники можуть впроваджувати шкідливі інструкції у вебсторінки, резюме або електронні листи. Мовні моделі настільки охоче виконують інструкції, що не здатні відрізнити текст від надійного користувача від інструкцій, прихованих в недовіреному контенті зловмисника. У результаті модель надає однаковий рівень довіри і користувачеві, і атакуючому.
Обидві вади можуть бути використані для атак, що дають можливість викрадати дані, виконувати шкідливий код або красти криптовалюту. Поки що розробники не змогли знайти спосіб повністю запобігти таким вразливостям. У багатьох випадках проблему можна усунути лише за допомогою окремих латок, створених постфактум, коли конкретний недолік уже виявлено.
Це й стало підставою для такого прямого зізнання в публікації Microsoft:
«Оскільки ці можливості впроваджуються, моделі ШІ все ще мають функціональні обмеження щодо того, як вони поводяться, і часом можуть галюцинувати та створювати непередбачувані результати. Крім того, агентні застосунки на основі ШІ вводять нові ризики, такі як міжпідказкова інʼєкція (XPIA), де шкідливий контент, вбудований у елементи інтерфейсу або документи, може замінити інструкції агента, що призведе до неконтрольованих дій, як-от викрадення даних або встановлення зловмисного ПЗ».
Microsoft заявила, що увімкнення Copilot Actions рекомендоване лише досвідченим користувачам, і наразі функція доступна лише у бета-версіях Windows. Водночас компанія не уточнила, які саме навички мають бути у таких користувачів або які саме дії вони мають виконувати для запобігання компрометації пристроїв. Запит щодо цих деталей Microsoft залишила без конкретних відповідей.
Чимало експертів поставили під сумнів практичність подібних попереджень, порівнюючи їх з багаторічними застереженнями Microsoft щодо небезпеки макросів в Office. Попри те, що небезпека була загальновідомою, макроси залишалися одним із найпростіших шляхів для поширення зловмисних програм на Windows. Головною причиною було те, що макроси стали настільки невіддільними від повсякденної роботи, що багато хто просто не може відмовитися від них.
На тлі цього пролунала думка, що нові агентні функції нагадують традиційні макроси, але в набагато потужнішому, автоматизованому виконанні.
Фахівці також висловили сумнів, чи забезпечить Microsoft належний контроль для адміністраторів корпоративних мереж, які мають визначати, на яких пристроях функція увімкнена, а на яких ні. За словами представника Microsoft, ІТ-адміністратори зможуть увімкнути або вимкнути робочий простір агентів на рівні облікових записів і пристроїв, використовуючи Intune або інші системи мобільного керування пристроями.
Експерти в галузі безпеки наголошують, що виявити експлуатацію агентних функцій навіть для досвідченого користувача буде вкрай важко. За їхніми словами, поза повним утриманням від перегляду вебу навряд чи існує реальний надійний спосіб запобігти атакам такого типу.
Microsoft підкреслює, що Copilot Actions є експериментальною функцією, яка за замовчуванням вимкнена. Ймовірно, це зроблено саме для того, щоб доступ отримували лише користувачі, здатні усвідомити ризики. Та критики зауважують, що попередні експериментальні функції, на кшталт самого Copilot, з часом ставали активними за замовчуванням для всіх. Коли це трапляється, користувачі, які не довіряють таким можливостям, змушені витрачати час на розробку неофіційних способів їх вимкнення.
Більша частина повідомлення Microsoft була присвячена загальній стратегії забезпечення безпеки агентних функцій у Windows. Серед заявлених цілей:
-
дії агентів мають бути повністю відокремлюваними від дій користувача;
-
агенти мають забезпечувати конфіденційність при зборі, агрегації чи використанні даних користувача;
-
агенти мають отримувати підтвердження користувача для доступу до даних або виконання дій.
Цілі є коректними, проте їх реалізація значною мірою залежить від того, чи будуть користувачі читати діалогові вікна з попередженнями та уважно надавати дозволи. Це знижує реальну ефективність захисту для значної частини користувачів.
Фахівці наголошують, що багато користувачів легко піддаються маніпуляціям, зокрема через втому, стрес або недостатню технічну обізнаність. І хоча деякі коментатори схильні звинувачувати жертв, подібні інциденти практично неминучі через людський фактор.
Критики вказують, що нинішній підхід Microsoft виглядає більше як формальне юридичне самозахистне застереження. Водночас підкреслюється, що компанія, як і інші гравці ринку, поки що не має повного розуміння, як повністю розвʼязати проблему галюцинацій або інʼєкцій у підказки. Відтак відповідальність непомітно перекладається на користувача, попри те, що сенс подібних інструментів має полягати у зменшенні ризиків, а не їх посиленні.
Критику отримують не лише продукти Microsoft. Аналогічні питання постають і щодо функцій штучного інтелекту, інтегрованих іншими компаніями у свої пристрої та сервіси. Часто такі функції починають як опціональні, але з часом стають активними обходячи бажання користувачів.
