Новий напад, що отримав назву «EchoLeak», є першим відомим нульовим-взаємодійним вразливістю штучного інтелекту, що дозволяє зловмисникам витягувати чутливі дані з Microsoft 365 Copilot з контексту користувача без жодної взаємодії.
Цю загрозу розробили дослідники Aim Labs у січні 2025 року, після чого повідомили про свої знахідки до Microsoft. Технологічний гігант присвоїв ідентифікатор CVE-2025-32711 цій вразливості, оцінивши її як критичну, та усунув її на серверному рівні в травні, не вимагаючи дій від користувачів.
Також Microsoft зауважив, що немає свідчень щодо реальної експлуатації цієї вразливості, тому вона не завдала шкоди жодному клієнтові.
Microsoft 365 Copilot — це AI-асистент, вбудований в офісні програми, такі як Word, Excel, Outlook та Teams, що використовує моделі GPT від OpenAI і Microsoft Graph для допомоги користувачам у генерації контенту, аналізу даних та відповіді на запитання на основі внутрішніх файлів, електронних листів і чату організації.
Хоча EchoLeak була виправлена і ніколи не була зловмисно використана, її значення полягає в демонстрації нового класу вразливостей, які називаються «порушенням області LLM», що призводить до витоку привілейованих внутрішніх даних без наміру чи взаємодії користувача.
Оскільки атака не потребує взаємодії з жертвою, її можна автоматизувати для безшумного витоку даних у корпоративних середовищах, підкреслюючи, наскільки небезпечні ці вразливості, коли їх використовують проти систем з інтегрованим AI.
Як працює EchoLeak
Атака починається з того, що зловмисник надсилає електронний лист жертві, в якому міститься текст, не пов’язаний із Copilot, оформлений як звичайний діловий документ.
Електронний лист містить приховане ін’єкційне запитання, створене для того, щоб наказати LLM витягнути та витікати чутливі внутрішні дані.
Оскільки запитання сформульоване як звичне повідомлення для людини, воно обходить засоби захисту Microsoft XPIA (крос-ін’єкційні атаки).
Пізніше, коли користувач ставить питання Copilot, пов’язане з бізнесом, електронний лист потрапляє в контекст запиту LLM завдяки своєму форматуванню та явній відповідності.
Зловмисна ін’єкція, потрапивши до LLM, «обманює» її, змушуючи витягувати чутливі внутрішні дані та вставляти їх у спеціально підготовлене посилання або зображення.
Дослідження Aim Labs показали, що деякі формати зображень markdown змушують браузер запитувати зображення, що автоматично передає URL, включаючи вбудовані дані, на сервер зловмисника.
Джерело: Aim Labs
Microsoft CSP блокує більшість зовнішніх доменів, але URL Microsoft Teams та SharePoint є надійними, що дозволяє зловмисникам використовувати їх для витоку даних без проблем.
Джерело: Aim Labs
Хоча EchoLeak була виправлена, зростаюча складність і глибша інтеграція LLM-додатків у бізнес-процеси вже перевантажують традиційні системи захисту.
Ця ж тенденція, напевно, призведе до виникнення нових вразливостей, які зловмисники можуть використовувати для масштабних атак.
Важливо, щоб підприємства зміцнювали свої фільтри для запитів ін’єкції, впроваджували детальне обмеження введення та застосовували постобробку виходу LLM для блокування відповідей, що містять зовнішні посилання або структуровані дані.
Крім того, RAG-движки можуть бути налаштовані так, щоб виключати зовнішні комунікації, щоб уникнути збору зловмисних запитів з самого початку.