Исследователи Aim Labs выявили уязвимость с нулевым взаимодействием под названием EchoLeak, позволяющую извлекать конфиденциальные данные из Microsoft 365 Copilot без участия пользователя. Это первая подобная атака, использующая механизмы генеративного ИИ.
Уязвимость была обнаружена в январе 2025 года и получила идентификатор CVE-2025-32711. Microsoft признала её критической и устранила проблему на стороне сервера в мае. По официальным данным, случаев реальной эксплуатации зафиксировано не было.
Copilot — ИИ-помощник, встроенный в Office-приложения, использующий модели GPT от OpenAI и Microsoft Graph. Он отвечает на запросы пользователей на основе внутренней информации организации.
Атака начинается с отправки специально оформленного письма, в котором скрыт вредоносный запрос. Такой текст проходит защиту Microsoft, поскольку выглядит как обычное сообщение. Когда пользователь задаёт Copilot деловой вопрос, письмо попадает в контекст через механизм Retrieval-Augmented Generation (RAG), активируя внедрённую команду.
В результате LLM извлекает конфиденциальные данные и вставляет их в ссылку или изображение. Некоторые форматы изображений Markdown могут автоматически отправлять данные на сервер злоумышленника. Хотя большинство внешних доменов блокируется, URL из Microsoft Teams и SharePoint считаются доверенными.
EchoLeak подчёркивает новый тип угроз — "нарушение области действия LLM", при которых модель непреднамеренно раскрывает закрытую информацию.
Чтобы снизить риски, компаниям следует усиливать фильтрацию входных и выходных данных, ограничивать доступ RAG к внешним источникам и блокировать ответы, содержащие внешние ссылки или вложенные данные.
Microsoft устранила 126 уязвимостей, включая активно эксплуатируемую брешь в Windows CLFS
