Microsoft офіційно попередила про критичні вразливості у функції Copilot Actions для Windows 11. ШІ-агент здатний встановлювати шкідливе програмне забезпечення та викрадати персональні дані через атаки типу крос-промпт-ін’єкції. Експерти з кібербезпеки розкритикували підхід компанії, який перекладає відповідальність на користувачів.
Технологічний гігант із Редмонда опинився в епіцентрі скандалу. Ледь минув місяць після гучної презентації Copilot Actions як ключової функції стратегії “AI PC”, і компанія змушена визнати неприємну правду. Її власна документація тепер містить попередження про “нові ризики безпеки”, здатні скомпрометувати цілі системи.
17 листопада 2025 року Microsoft опублікувала оновлений документ підтримки. Формулювання там відверті до болю: “Агентні застосунки зі штучним інтелектом створюють нові ризики безпеки, зокрема крос-промпт-ін’єкцію (XPIA), коли шкідливий контент у елементах інтерфейсу чи документах може перевизначати інструкції агента”. Результат? Несанкціоновані дії на кшталт викрадення даних або встановлення шкідливого ПЗ.
Так, ви прочитали правильно. Microsoft поставляє функцію, яку можна обманом змусити встановити malware на вашу систему.
Як працює крос-промпт-ін’єкція
Механізм атаки виглядає елегантно просто. Зловмисники приховують шкідливі інструкції у веб-сторінках, документах або електронних листах. Коли ШІ-агент обробляє такий контент, він сприймає ці інструкції як легітимні команди. Агент виконує дії від імені користувача — без жодного дозволу.
Найгірше те, що виявити таку атаку в реальному часі технічно неможливо для більшості людей. Шкідливий промпт часто невидимий для людського ока. Але ШІ читає його ідеально. Біла крапля на білому тлі. Приховані теги Unicode. Мініатюрний шрифт. Варіантів безліч.
Дослідник безпеки Йоганн Ребергер ще у 2024 році демонстрував подібні вразливості у Microsoft 365 Copilot. Його експлойт поєднував промпт-ін’єкцію через електронну пошту, автоматичний виклик інструментів без участі людини та ексфільтрацію даних через ASCII-контрабанду. Copilot самостійно шукав інші листи та документи — просто тому, що шкідливий лист так наказав.
Критика експертів: макроси на стероїдах
Реакція спільноти кібербезпеки виявилася передбачувано різкою. Кевін Бомонт, незалежний дослідник безпеки, провів пряму паралель з історією Office. Його формулювання стало вірусним: “Це макроси на стероїдах супергероя Marvel”.
Порівняння влучне. Десятиліттями макроси Office слугували головним вектором зараження malware. Чому? Тому що користувачі вмикали їх попри попередження. Продуктивність важила більше. Microsoft зробила макроси незамінними для роботи — і хакери цим користувалися.
Тепер компанія повторює той самий сценарій. Тільки масштаб загрози значно більший. Copilot Actions отримує доступ для читання та запису до папок Documents, Downloads, Desktop, Pictures, Videos та Music. Це практично весь користувацький простір.
Гійом Россоліні, ще один дослідник безпеки, влучно зауважив: “Я не бачу, як користувачі зможуть запобігти чомусь подібному, хіба що взагалі не користуватимуться інтернетом”. Рід Мідеке охарактеризував попередження Microsoft як юридичний маневр: “Рішення? Перекласти відповідальність на користувача. Не зважаючи на те, що чат-бот вам не потрібен, якщо ви вже знаєте відповідь”.
Ерленс Фернандес, професор Каліфорнійського університету в Сан-Дієго, який спеціалізується на безпеці ШІ, був більш дипломатичним. Але суть та сама: “Звичне застереження застосовується до таких механізмів, що покладаються на натискання користувачем кнопки підтвердження. Іноді ті користувачі цього не роблять…”
Архітектура Agent Workspace: недостатня ізоляція
Технічна реалізація агентів викликає окремі питання. Новий Agent Workspace працює як паралельна сесія Windows з обмеженими правами. Це не повністю ізольована віртуальна машина. Не пісочниця з жорсткими обмеженнями. Архітектурний компроміс між продуктивністю та безпекою — і не на користь останньої.
Windows створює окремі локальні облікові записи для різних ШІ-агентів. Ці облікові записи мають доступ до особистої папки користувача. Коли налаштування увімкнене, агент отримує права на читання та запис до шести ключових директорій. Формально це обмеження. На практиці — майже весь цінний контент користувача.
Microsoft визнає й інші проблеми. Документація відверто каже: “ШІ-моделі все ще мають функціональні обмеження у своїй поведінці та іноді можуть галюцинувати й видавати неочікувані результати”. Тобто навіть без зловмисного втручання агент може неправильно інтерпретувати команду. Видалити файли помилково. Надіслати листи не тим адресатам.
Цікаво, що перші попереджувальні ознаки з’явилися ще раніше. У червні 2025 року дослідники Aim Security виявили вразливість CVE-2025-32711 у Microsoft 365 Copilot. Оцінка критичності — 9.3 за шкалою CVSS. Атака “без кліку”: зловмисник надсилає електронного листа, жертва нічого не відкриває, а конфіденційні дані вже ексфільтровані. Microsoft виправила проблему, але факт залишається фактом — подібні “дизайнерські недоліки” притаманні всім RAG-системам.
Хронологія проблем з безпекою Copilot
Список вразливостей Copilot вражає. Лютий 2023: студент Стенфорда обійшов захист Bing Chat, змусивши його розкрити внутрішні інструкції та кодову назву “Sydney”. Серпень 2024: дослідники Zenity на конференції Black Hat USA продемонстрували приховані інструкції в електронних листах, які замінювали банківські реквізити на фішингові. Жертві навіть не потрібно було відкривати шкідливий лист — Copilot сам підтягував його контент.
Майкл Баргурі, технічний директор Zenity, влучно сформулював проблему: “Це еквівалент віддаленого виконання коду у світі Copilot. ШІ-інструменти мають доступ для виконання операцій від вашого імені. Саме тому вони корисні. Як зовнішній актор, я можу перехопити контроль над чимось, що виконує команди від вашого імені, і змусити це робити все, що захочу”.
Він також зауважив критичну прогалину: “Якщо я надішлю вам електронного листа зі шкідливим ПЗ сьогодні, він, імовірно, не потрапить до вашої поштової скриньки. У вас є інструменти для перехоплення цього malware. Нам потрібне те саме для промптів. І те саме для прихованих інструкцій”. Але таких інструментів поки не існує.
Заходи захисту Microsoft: теорія проти практики
Компанія намагається пом’якшити критику переліком захисних механізмів. Функція вимкнена за замовчуванням. Потрібні права адміністратора для активації. Агенти працюють у окремих сесіях. Усі дії повинні схвалюватися людиною. Ведуться логи активності. Звучить непогано — на папері.
На практиці ситуація складніша. По-перше, “втома від погоджень”: користувачі, яких засипають запитами на підтвердження, починають автоматично натискати “Так”. По-друге, логи корисні лише якщо вони захищені від підробки та інтегровані в корпоративні SIEM-системи. По-третє, виявлення XPIA-атак потребує спеціалізованих класифікаторів, які постійно потребують оновлення для протидії новим технікам обходу.
Microsoft Defender тепер включає виявлення спроб промпт-ін’єкції — як UPIA (від користувача), так і XPIA (через заражені файли SharePoint). Але це реактивний захист. Зловмисники вже всередині, коли спрацьовує сигнал тривоги. А для консьюмерських користувачів Windows 11 такий рівень захисту взагалі недоступний.
Примітно, що Microsoft усвідомлює ризик репутаційної катастрофи. Схоже, компанія прагне уникнути повторення провалу з функцією Recall. Ту довелося відкликати після того, як дослідники виявили серйозні проблеми з конфіденційністю. Тому Copilot Actions поки що доступний лише для Windows Insiders у Dev Channel. Обережний підхід. Але чи достатньо обережний?
Глобальний контекст: ШІ як мішень і зброя
Ситуація з Copilot Actions — частина ширшої тенденції. Звіт Microsoft Digital Defense Report 2025 містить тривожну статистику. росія, Китай, Іран та Північна Корея більш ніж удвічі збільшили використання ШІ для кібератак та дезінформації.
Штучний інтелект тепер перекладає фішингові листи на бездоганну англійську. Генерує deepfake-відео керівників компаній. Автоматизує malware, що адаптується в реальному часі для обходу захисту.
У першій половині 2025 року атаки на основі ідентичності зросли на 32%. Понад 97% з них використовували техніки підбору паролів. Дослідницькі установи та академічні інституції постраждали найбільше — через відкриті мережі та децентралізовані IT-системи. Сполучені Штати стали мішенню майже чверті всіх спостережуваних інцидентів. За ними — Велика Британія, Ізраїль та Німеччина.
Гібридні операції тепер становлять понад 40% випадків ransomware. Два роки тому — менше 5%. Зловмисники експлуатують неправильні конфігурації та слабкий контроль доступу для переміщення між хмарними та локальними системами. Руйнівні дії в хмарних середовищах зросли на 87%.
Ейми Хоган-Берні та Ігор Циганський, керівники з кібербезпеки Microsoft, написали у звіті: “Ми живемо у визначальний момент кібербезпеки”. Іронічно, що власні продукти компанії ілюструють цю тезу краще за будь-які слова.
Що робити користувачам та організаціям
Рекомендації для індивідуальних користувачів очевидні. Не вмикайте експериментальні агентні функції, якщо не маєте глибокого розуміння ризиків. Microsoft каже те саме — але не пояснює, яка саме підготовка потрібна. Простіше кажучи: якщо ви читаєте цю статтю і сумніваєтеся, вам краще утриматися.
Для корпоративних клієнтів ситуація складніша. Експерти радять:
- Оновити моделі загроз та плейбуки реагування на інциденти для сценаріїв з компрометованими агентами та XPIA-атаками
- Провести інвентаризацію пристроїв з можливістю локального ШІ-виведення та визначити, де дозволити розширені функції Copilot
- Вимагати сильного походження: підписані агенти, атестовані системи збірки, списки відкликання
- Впровадити логи з захистом від підробки, підписані ключем пристрою та дзеркальовані до хмарного сховища або корпоративного SIEM
- Використовувати Microsoft Purview для тонкого контролю над тим, які дані доступні Copilot
Також варто пам’ятати про мітки конфіденційності. Вони дозволяють запобігти обробці Copilot файлів, ідентифікованих політикою захисту від витоку даних.
Майбутнє агентного ШІ: біг наввипередки із загрозами
Індустрія опинилася у патовій ситуації. Технічного рішення для промпт-ін’єкції не існує. Класифікатори XPIA та UPIA постійно потребують оновлень для протидії новим технікам обходу. Зловмисники завжди на крок попереду — вони не зобов’язані грати за правилами.
Microsoft продовжує дослідження. У липні 2025 року компанія опублікувала детальний аналіз своїх методів захисту від непрямої промпт-ін’єкції. Детерміністичне блокування потенційних наслідків для безпеки. Тонкі дозволи та контроль доступу. Шаблон “людина в циклі” для критичних дій. Все це допомагає — але не вирішує фундаментальну проблему.
Навжот Вірк, корпоративний віцепрезидент Microsoft з досвіду Windows, намагалася керувати очікуваннями під час анонсу: “На початку ви можете побачити, що агент робить помилки або стикається з труднощами при спробі використання дійсно складних застосунків”. Чесно, але недостатньо заспокійливо.
Ера Windows як агентної операційної системи настала — подобається нам це чи ні. Microsoft зробила ставку на цей напрямок і не відступить. Питання лише в тому, чи встигне безпека за функціональністю. Поки що відповідь невтішна. Обережність — найкраща стратегія для тих, хто цінує свої дані більше за нові можливості. Експеримент з Copilot Actions може виявитися надто дорогим.
За матеріалами:
