माइक्रोसॉफ्ट एंट्रा आईडी में एजेंट आइडेंटिटी एडमिनिस्ट्रेटर भूमिका में एक सुरक्षा दोष, जिसे कृत्रिम बुद्धिमत्ता एजेंटों की पहचान प्रबंधित करने के लिए डिज़ाइन किया गया है, विशेषाधिकार वृद्धि की अनुमति दे सकता है। सिल्वरफोर्ट के अनुसार, यह भूमिका अत्यधिक अनुमतियाँ प्रदान करती है जिनका एक हमलावर क्रेडेंशियल्स संशोधित करने, अतिरिक्त भूमिकाएँ निर्दिष्ट करने या किसी सेवा प्रिंसिपल का प्रतिरूपण करने के लिए शोषण कर सकता है, जिससे महत्वपूर्ण सेवा खातों से समझौता हो सकता है।
अत्यधिक अनुमतियाँ प्रतिरूपण का द्वार खोलती हैं 🔓
सिल्वरफोर्ट की रिपोर्ट में विस्तार से बताया गया है कि यह भूमिका सेवा प्रिंसिपलों की कुंजियों और प्रमाणपत्रों को संशोधित करने के साथ-साथ एप्लिकेशन एडमिनिस्ट्रेटर या हाइब्रिड आइडेंटिटी एडमिनिस्ट्रेटर जैसी भूमिकाएँ निर्दिष्ट करने की अनुमति देती है। यह एक हमलावर के लिए किसी एआई एजेंट की पहचान पर नियंत्रण लेना, नेटवर्क में पार्श्व रूप से घूमना और संवेदनशील संसाधनों तक पहुँचना आसान बनाता है। समस्या की जड़ यह है कि यह भूमिका न्यूनतम विशेषाधिकार के सिद्धांत का पालन नहीं करती है, जो एक डिज़ाइन दोष है जो एक प्रबंधन उपकरण को हमले के वेक्टर में बदल देता है।
वह बॉट जो ग्लोबल एडमिन बनना चाहता था 🤖
ऐसा लगता है कि माइक्रोसॉफ्ट ने अपने एआई एजेंट को एक ऑल-एक्सेस कार्ड दे दिया, जैसे कि बॉट को अपना काम करने के लिए राज्य की चाबियों की आवश्यकता हो। अब, पहुँच वाला कोई भी हमलावर एजेंट से अपने क्रेडेंशियल्स उधार देने के लिए कह सकता है, और बेचारा 'नहीं' कहना नहीं जानता। अंत में, जो एक डिजिटल सहायक होना चाहिए था, वह साइबर हमले के लिए एकदम सही साथी बन जाता है, यह साबित करते हुए कि कभी-कभी कृत्रिम बुद्धिमत्ता अपने पहले दिन एक इंटर्न की तरह भरोसेमंद होती है।