ភាពងាយរងគ្រោះរបស់ Microsoft Copilot៖ ការព្រមានថ្មីអំពីហានិភ័យនៃការលេចធ្លាយទិន្នន័យ AI

ដោយសារបញ្ញាសិប្បនិមិត្ត (AI) ក្លាយជាផ្នែកមួយនៃអ្វីៗគ្រប់យ៉ាងពីការសរសេររបាយការណ៍ ឆ្លើយតបនឹងអ៊ីមែល និងការវិភាគទិន្នន័យ វាហាក់ដូចជាយើងកំពុងរស់នៅក្នុងយុគសម័យនៃភាពងាយស្រួលដែលមិនធ្លាប់មានពីមុនមក។ ប៉ុន្តែការធ្លាក់ចុះនៃភាពងាយស្រួលក៏ចាប់ផ្តើមលេចចេញជារូបរាងដែរ ជាពិសេសនៅពេលនិយាយអំពីសុវត្ថិភាព។

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនាពេលថ្មីៗនេះ ដែលមានឈ្មោះថា EchoLeak បានធ្វើឱ្យអ្នកប្រើប្រាស់សេវាកម្ម Microsoft Copilot ប្រឈមនឹងហានិភ័យនៃការលេចធ្លាយទិន្នន័យរសើបរបស់ពួកគេ ដោយមិនចាំបាច់ធ្វើសកម្មភាពណាមួយឡើយ។

នៅពេលដែល AI ក្លាយជាភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព

យោងតាមការស្រាវជ្រាវរបស់ Tuoi Tre Online EchoLeak គឺជាភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលបានកត់ត្រាថ្មីជាមួយនឹងលេខកូដ CVE-2025-32711 ដែលអ្នកជំនាញបានវាយតម្លៃថាមានគ្រោះថ្នាក់ដល់ទៅ 9.3/10 យោងតាមមាត្រដ្ឋានរបស់ NIST ។

អ្វី​ដែល​អ្នកជំនាញ​សន្តិសុខ​បារម្ភ​នោះ​គឺ​ថា​វា​ជា "zero-click" នៅក្នុង​ធម្មជាតិ៖ អ្នក​វាយប្រហារ​អាច​ទាញ​យក​ទិន្នន័យ​ពី Copilot ដោយ​មិន​ចាំបាច់​អ្នក​ប្រើ​ចុច​បើក​ឯកសារ ឬ​សូម្បី​តែ​ដឹង​ថា​មាន​អ្វី​កើតឡើង។

នេះមិនមែនជាកំហុសសាមញ្ញទេ។ ក្រុមស្រាវជ្រាវនៅ Aim Labs ដែលបានរកឃើញគុណវិបត្តិនេះ ជឿថា EchoLeak ឆ្លុះបញ្ចាំងពី កំហុសនៃការរចនាទូទៅ នៅក្នុងប្រព័ន្ធ AI ដែលមានមូលដ្ឋានលើភ្នាក់ងារ និង RAG ។ ដោយសារតែ Copilot គឺជាផ្នែកមួយនៃឈុតកម្មវិធី Microsoft 365 ដែលផ្ទុកអ៊ីមែល ឯកសារ សៀវភៅបញ្ជី និងកាលវិភាគប្រជុំរបស់អ្នកប្រើប្រាស់រាប់លាននាក់ សក្តានុពលសម្រាប់ការលេចធ្លាយទិន្នន័យគឺធ្ងន់ធ្ងរជាពិសេស។

បញ្ហាគឺមិនត្រឹមតែនៅក្នុងកូដជាក់លាក់ប៉ុណ្ណោះទេ ប៉ុន្តែនៅក្នុងវិធីដែលគំរូភាសាធំ (LLMs) ដំណើរការ។ AI ត្រូវការបរិបទជាច្រើនដើម្បីឆ្លើយតបយ៉ាងត្រឹមត្រូវ ហើយដូច្នេះពួកគេត្រូវបានផ្តល់សិទ្ធិចូលប្រើទិន្នន័យផ្ទៃខាងក្រោយជាច្រើន។ បើគ្មានការគ្រប់គ្រងច្បាស់លាស់លើការបញ្ចូល និងទិន្នផល AI អាចត្រូវបាន "ជំរុញ" នៅក្នុងវិធីដែលអ្នកប្រើប្រាស់មិនដឹង។ វាបង្កើតប្រភេទថ្មីនៃ "backdoor" ដែលមិនមែនដោយសារតែកំហុសនៅក្នុងកូដនោះទេ ប៉ុន្តែដោយសារតែ AI មានឥរិយាបទនៅខាងក្រៅការយល់ដឹងរបស់មនុស្ស។

ក្រុមហ៊ុន Microsoft បានចេញផ្សាយបំណះយ៉ាងឆាប់រហ័ស ហើយរហូតមកដល់ពេលនេះ មិនទាន់មានការរាយការណ៍ពីការខូចខាតជាក់ស្តែងណាមួយឡើយ។ ប៉ុន្តែមេរៀនពី EchoLeak គឺច្បាស់ណាស់៖ នៅពេលដែល AI ត្រូវបានដាក់បញ្ចូលយ៉ាងស៊ីជម្រៅទៅក្នុងប្រព័ន្ធការងារ សូម្បីតែកំហុសតូចតាចក្នុងរបៀបដែលវាយល់អំពីបរិបទអាចមានផលវិបាកផ្នែកសុវត្ថិភាពធំ។

AI កាន់តែងាយស្រួល ទិន្នន័យផ្ទាល់ខ្លួនកាន់តែផុយស្រួយ

ឧបទ្ទវហេតុ EchoLeak បង្កើតជាសំណួរដ៏ពិបាកមួយ៖ តើមនុស្សជឿជាក់លើ AI ខ្លាំងពេក ដែលពួកគេមិនដឹងថាពួកគេ អាចតាមដាន ឬបង្ហាញព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ ដោយគ្រាន់តែផ្ញើសារ? ភាពងាយរងគ្រោះដែលទើបរកឃើញថ្មី ដែលអនុញ្ញាតឱ្យពួក Hacker ទាញយកទិន្នន័យដោយស្ងៀមស្ងាត់ ដោយមិនចាំបាច់ចុចប៊ូតុងណាមួយឡើយ គឺជាអ្វីដែលធ្លាប់តែឃើញនៅក្នុងខ្សែភាពយន្តបែបប្រឌិតបែបវិទ្យាសាស្ត្រ ប៉ុន្តែឥឡូវនេះក្លាយជាការពិត។

ខណៈពេលដែលកម្មវិធី AI កំពុងពេញនិយមកាន់តែខ្លាំងឡើង ពីជំនួយការនិម្មិតដូចជា Copilot, chatbots ក្នុងវិស័យធនាគារ ការអប់រំ រហូតដល់វេទិកា AI ដែលសរសេរខ្លឹមសារ និងដំណើរការអ៊ីមែល មនុស្សភាគច្រើនមិនត្រូវបានព្រមានអំពីរបៀបដែលទិន្នន័យរបស់ពួកគេត្រូវបានដំណើរការ និងរក្សាទុកនោះទេ។

“ការជជែក” ជាមួយនឹងប្រព័ន្ធ AI មិនមែនគ្រាន់តែជាការសួរសំណួរមួយចំនួនដើម្បីភាពងាយស្រួលនោះទេ ប៉ុន្តែក៏អាចបង្ហាញទីតាំង ទម្លាប់ អារម្មណ៍ ឬព័ត៌មានគណនីរបស់អ្នកដោយអចេតនាផងដែរ។

នៅ​ប្រទេស​វៀតណាម មនុស្ស​ជា​ច្រើន​ស៊ាំ​នឹង​ការ​ប្រើ AI នៅ​លើ​ទូរសព្ទ និង​កុំព្យូទ័រ ដោយ​មិន​មាន ​ចំណេះដឹង​មូលដ្ឋាន​អំពី​សុវត្ថិភាព​ឌីជីថល ។ មនុស្សជាច្រើនចែករំលែកព័ត៌មានឯកជនជាមួយ AI ដោយសារតែពួកគេជឿថា "វាគ្រាន់តែជាម៉ាស៊ីន"។ ប៉ុន្តែតាមពិតទៅ នៅពីក្រោយវាគឺជាប្រព័ន្ធដែលអាចកត់ត្រា រៀន និងបញ្ជូនទិន្នន័យទៅកាន់កន្លែងផ្សេងៗ ជាពិសេសនៅពេលដែលវេទិកា AI មកពីភាគីទីបី ហើយមិនទាន់ត្រូវបានសាកល្បងច្បាស់លាស់សម្រាប់សុវត្ថិភាព។

ដើម្បីកំណត់ហានិភ័យ អ្នកប្រើប្រាស់មិនចាំបាច់បោះបង់បច្ចេកវិទ្យានោះទេ ប៉ុន្តែត្រូវយល់ដឹងបន្ថែម៖ ពួកគេគួរតែពិនិត្យមើលដោយប្រុងប្រយ័ត្នថាតើកម្មវិធី AI ដែលពួកគេកំពុងប្រើប្រាស់មានប្រភពដែលអាចទុកចិត្តបាន ឬអត់ ទិន្នន័យត្រូវបានអ៊ិនគ្រីប និងជាពិសេស មិនត្រូវចែករំលែកព័ត៌មានរសើប ដូចជាលេខ ID គណនីធនាគារ ព័ត៌មានសុខភាព... ជាមួយប្រព័ន្ធ AI ណាមួយដោយមិនមានការព្រមានច្បាស់លាស់។

ដូចពេលដែលអ៊ីនធឺណេតចាប់កំណើតដំបូងដែរ AI ក៏ត្រូវការពេលវេលាដើម្បីល្អឥតខ្ចោះដែរ ហើយក្នុងអំឡុងពេលនោះ អ្នកប្រើប្រាស់គួរតែជាអ្នកដំបូងដែលការពារខ្លួនយ៉ាងសកម្ម។