Microsoft Copilot: Webbplatser kan i hemlighet skicka kommandon till AI:n

Microsoft åtgärdade en kritisk sårbarhet i Copilot under Patch Tuesday den 14 juli. Sårbarheten, som har beteckningen CVE-2026-48561, har ett CVSS-betyg på 9,6 av 10, vilket placerar den bland månadens allvarligaste sårbarheter. Ofek Levin från säkerhetsföretaget Enclave rapporterade sårbarheten.
Allt som krävdes var en webbplats
Attacken skedde via webbläsaren. Enligt Microsoft kunde en angripare driva en skadlig webbplats som lurade Microsoft Edge för Android att skicka specialkonstruerade förfrågningar till Copilot på enheten. Det räckte med att besöka sidan.
Det verkliga problemet låg i hur dessa förfrågningar hanterades. Den drabbade komponenten tog emot dem utan att be om bekräftelse och kontrollerade aldrig varifrån de kom, så förfrågningarna gick igenom utan att användaren märkte något. Microsoft säger att resultatet kan bli oavsiktliga åtgärder i Copilot, såsom att läsa eller ändra data. Företaget klassificerar säkerhetsbristen som kommandoinjektion.
Dessa appar listas i säkerhetsmeddelandet
Microsoft nämner två drabbade produkter: Microsoft 365 Copilot för iOS och Microsoft 365 Copilot för Android. I beskrivningen av attacken nämns dock endast Edge för Android. Microsoft lämnar denna lucka oförklarad.
Något annat sticker ut. Uppdateringslänkarna i säkerhetsmeddelandet pekar inte på någon Copilot-app på någon av plattformarna. De pekar istället på Microsoft Edge i App Store och på Google Play. Microsoft anger aldrig något build-nummer som innehåller korrigeringen, och i releaseanteckningarna för Edge Mobile nämns inte heller säkerhetsbristen. Den senaste versionen för Android och iOS, 150.0.4078.65, släpptes den 13 juli.
Vad du bör göra nu
Först de goda nyheterna. Sårbarheten var inte känd före Patch Tuesday, och Microsoft uppger att den aldrig har utnyttjats. Det finns ingen fungerande exploit, och Microsoft själva bedömer att det är osannolikt att den skulle utnyttjas. Den finns inte med på CISA:s lista över kända utnyttjade sårbarheter.
Eftersom Microsoft inte anger någon version är den praktiska åtgärden enkel. Håll Copilot-appen och Microsoft Edge uppdaterade på din telefon via Play Store på Android eller App Store på iOS. Och om du aldrig använder Copilot på din telefon kan du helt enkelt ta bort den.
Inte det första fallet av detta slag
Attacker som smyger sig in mellan användare och deras AI-assistenter blir allt vanligare. I slutet av juni upptäcktes förklädda annonsblockerare som kunde läsa chattar med ChatGPT och Gemini. Om du vill veta vad dina AI-assistenter lagrar om dig och hur du stänger av funktionen, kan du läsa vår översikt över lagringsinställningarna visar hur du gör. Och om du hellre vill hålla Copilot borta från din arbetsdag kan du inaktivera Copilot och Facilitator i Microsoft Teams.
Källa(or)
Topp 10...
» Topp 10: Bästa bärbara allround/multimediadatorerna
» Topp 10: Bästa bärbara speldatorerna
» Topp 10: Bärbara budget/kontorsdatorer
» Topp 10: Bästa bärbara kontors/premiumdatorerna
» Topp 10: Bärbara arbetsstationer
» Topp 10: De bästa små/kompakta bärbara datorerna
» Topp 10: Bästa ultrabooks
» Topp 10: Bästa hybriddatorerna
» Topp 10: Bästa surfplattorna
» Topp 10: Marknadens bästa smartphones






