آسیب‌پذیری مخفی کوپایلوت: هکرها با هوش مصنوعی مایکروسافت، کدهای ۲FA را دزدیدند

نقصی که امنیت دو مرحله‌ای را به خطر انداخت

در هفته‌های اخیر پژوهشگران امنیتی به یک آسیب‌پذیری جدی در سرویس هوش مصنوعی کوپایلوت مایکرواسافت پی‌بردند. این نقص به مهاجمان این امکان را می‌دهد تا با استفاده از الگوریتم‌های پیشرفتهٔ هوش مصنوعی، کدهای تأیید دو مرحله‌ای (۲FA) و حتی محتوای ایمیل‌های کاربران را به‌طور مخفی استخراج کنند.

چگونگی کارکرد حمله

هکرها ابتدا با ارسال درخواست‌های مخفی به سرورهای کوپایلوت، پاسخ‌های مدل زبانی را به‌گونه‌ای تنظیم می‌کنند که اطلاعات حساس کاربر در قالب متن خروجی ظاهر شود. سپس با پردازش این خروجی، کدهای ۲FA که معمولاً برای ورود به حساب‌های مهم مانند Gmail، Outlook یا حساب‌های بانکی استفاده می‌شوند، استخراج می‌شوند. در برخی موارد، این حمله حتی به محتوای ایمیل‌های کاربر نیز دسترسی پیدا کرده و می‌تواند برای فیشینگ یا سرقت هویت به کار رود.

واکنش مایکرواسافت

پس از دریافت گزارش‌های اولیه، تیم امنیتی مایکرواسفت فوراً یک پچ اضطراری برای کوپایلوت منتشر کرد و کاربران را به به‌روزرسانی فوری سرویس دعوت کرد. در بیانیه‌ای رسمی، شرکت تأکید کرد که این نقص در نسخه‌های پیشین مدل‌های زبانی بروز کرده و در نسخه‌های جدیدتر به‌طور کامل رفع شده است. همچنین مایکرواسفت توصیه کرد که کاربران برای جلوگیری از آسیب‌های احتمالی، از روش‌های تأیید دو مرحله‌ای مبتنی بر پیامک یا برنامه‌های احراز هویت مستقل استفاده کنند.

پیامدهای احتمالی برای کاربران

اگرچه شرکت مایکرواسفت اقدام به رفع نقص کرده، اما کاربران که پیش از به‌روزرسانی سرویس از کوپایلوت استفاده می‌کردند، ممکن است اطلاعات حساس خود را از دست داده باشند. به‌خصوص کسانی که برای ورود به حساب‌های کاری یا مالی از ۲FA بهره می‌برند، باید تاریخچهٔ دسترسی‌های خود را بررسی کنند و در صورت مشاهدهٔ فعالیت‌های مشکوک، رمز عبور و کدهای احراز هویت را تغییر دهند.

چه کاری باید انجام داد؟

1. **به‌روزرسانی فوری**: اطمینان حاصل کنید که آخرین نسخهٔ کوپایلوت نصب شده باشد.

2. **بازنگری در تنظیمات ۲FA**: به‌جای پیامک، از برنامه‌های احراز هویت مثل Google Authenticator یا Microsoft Authenticator استفاده کنید.

3. **بازبینی ایمیل‌ها**: در صورت امکان، لاگ‌های دسترسی به ایمیل‌ها را برای تشخیص فعالیت‌های غیرمجاز بررسی کنید.

4. **آگاهی‌رسانی**: به تیم‌های داخلی و همکاران خود دربارهٔ این خطر اطلاع دهید تا از بروز حملات مشابه جلوگیری شود.

نگاه به آینده

این حادثه نشان می‌دهد که حتی سرویس‌های پیشرفتهٔ هوش مصنوعی هم می‌توانند به‌عنوان نقطهٔ ضعف جدیدی برای هکرها عمل کنند. با گسترش استفاده از مدل‌های زبانی در ابزارهای روزمره، نیاز به ارزیابی مستمر امنیتی و به‌روزرسانی‌های سریع‌تر از پیش بیشتر می‌شود.

**نتیجه‌گیری:** آسیب‌پذیری کوپایلوت یادآور این است که امنیت دو مرحله‌ای نباید فقط به یک لایهٔ فنی تکیه کند؛ ترکیب هوش مصنوعی با روش‌های حفاظتی سنتی، راهی مؤثر برای مقابله با تهدیدات نوین خواهد بود.