Недавня атака, що отримала назву ‘EchoLeak’, є першим відомим випадком нульового кліку вразливості штучного інтелекту, яка дозволяє зловмисникам витягувати конфіденційні дані з Microsoft 365 Copilot з контексту користувача без його взаємодії.
Атака була розроблена дослідниками Aim Labs у січні 2025 року, які повідомили про свої знахідки до Microsoft. Технічний гігант надав інформаційної уразливості ідентифікатор CVE-2025-32711, оцінивши її як критичну, і виправив її на серверному боці у травні, тому акція з боку користувача не була потрібна.
Крім того, Microsoft зазначила, що немає свідчень реальної експлуатації цієї вразливості, тож вона не вплинула на жодного користувача.
Microsoft 365 Copilot – це AI асистент, інтегрований в офісні програми, такі як Word, Excel, Outlook і Teams, що використовує моделі GPT компанії OpenAI та Microsoft Graph, щоб допомогти користувачам генерувати контент, аналізувати дані та відповідати на запитання на основі внутрішніх файлів, електронних листів і чатів організації.
Хоча проблема була виправлена і ніколи не експлуатувалася з метою злому, EchoLeak має значення, оскільки демонструє новий клас вразливостей, відомих як ‘LLM Scope Violation’, які викликають витік привілейованих внутрішніх даних з великих мовних моделей (LLM) без наміру або взаємодії користувача.
Оскільки атака не вимагає взаємодії з жертвою, її можна автоматизувати для безшумного витоку даних у корпоративних середовищах, що підкреслює небезпеку таких вразливостей при розгортанні їх проти систем, інтегрованих з AI.
Як працює EchoLeak
Атака починається з отримання зловмисного електронного листа, направленого на ціль, що містить текст, який не стосується Copilot, форматується як типовий бізнес-документ.
Електронний лист містить прихований код введення, розроблений для того, щоб надіслати команду LLM витягнути й передати конфіденційні внутрішні дані.
Оскільки запит сформульовано у вигляді звичайного повідомлення до людини, він обминає захисні механізми Microsoft XPIA (крос-ін’єкційні атаки).
Пізніше, коли користувач ставить Copilot запитання, пов’язане з бізнесом, електронний лист потрапляє в контекст запиту LLM завдяки своєму формату та очевидній релевантності, оскільки використовується механізм Retrieval-Augmented Generation (RAG).
Зловмисна ін’єкція, тепер досягнувши LLM, “обманює” його, змушуючи витягувати конфіденційні внутрішні дані та вставляти їх у створене посилання або зображення.
Дослідження Aim Labs показали, що деякі формати зображень Markdown призводять до того, що браузер запитує зображення, автоматично відправляючи URL, включаючи вбудовані дані, на сервер зловмисника.
Джерело: Aim Labs
Хоча Microsoft CSP блокує більшість зовнішніх доменів, URL-адреси Microsoft Teams і SharePoint вважаються довіреними, тому їх можна зловживати для витоку даних без проблем.
Джерело: Aim Labs
EchoLeak вже виправлено, але зростаюча складність і глибша інтеграція LLM-додатків у бізнес-процеси вже перевантажують традиційні системи захисту.
Цей тренд неминуче призведе до появи нових вразливостей, які противники зможуть використовувати для підступних атак з великим впливом.
Важливо, щоб підприємства покращували свої фільтри для ін’єкцій запитів, впроваджували детальне обмеження вхідних даних і застосовували фільтри постобробки для виходу LLM, щоб блокувати відповіді, які містять зовнішні посилання або структуровані дані.
Крім того, механізми RAG можна налаштувати так, щоб вони виключали зовнішні комунікації, щоб уникнути отримання зловмисних запитів з самого початку.