<div id="post_message_797632">

Новая атака <a href="https://www.aim.security/lp/aim-labs-echoleak-blogpost" target="_blank">EchoLeak </a>связана с первой известной ИИ-уязвимостью, которая позволяла злоумышленникам извлекать конфиденциальные данные из ИИ-помощника Microsoft 365 Copilot без взаимодействия с пользователем.<br/>
<br/>
Проблему еще в январе 2025 года обнаружили исследователи из компании Aim Labs и уведомили Microsoft о своих выводах. Компания присвоила уязвимости идентификатор <a href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-32711" target="_blank">CVE-2025-32711</a>, оценив ее как критическую (9,3 балла по шкале CVSS).<br/>
<br/>
В мае 2025 года ошибка была устранена на стороне сервера, то есть никаких действий со стороны пользователей для ее исправления не требуется. В Microsoft подчеркнули, что специалисты компании не обнаружили никаких признаков эксплуатации проблемы в реальных атаках, и данные клиентов не пострадали.<br/>
<br/>
ИИ-ассистент Microsoft 365 Copilot интегрирован в такие приложения Office, как Word, Excel, Outlook и Teams. Он использует модели OpenAI GPT и Microsoft Graph, чтобы пользователи могли генерировать контент, анализировать данные и отвечать на вопросы на основе внутренних файлов, электронных писем и чатов организации.<br/>
<br/>
Исследователи отмечают, что хотя в настоящее время уязвимость уже устранена, EchoLeak имеет большое значение для демонстрации нового класса уязвимостей типа «LLM Scope Violation», которые приводят к утечке привилегированных внутренних данных из большой языковой модели (LLM) без какого-либо взаимодействия с пользователем.<br/>
<br/>
Поскольку атака не требует взаимодействия с жертвой, она могла быть автоматизирована, например, для незаметной кражи данных в корпоративных средах.<br/>
<br/>
Атака EchoLeak начинается с отправки будущей жертве вредоносного письма, которое оформлено как обычный документ в формате markdown и содержит текст, не имеющий никакого отношения к Copilot. Однако в письмо внедрен скрытый запрос, дающий LLM инструкции по извлечению и сливу конфиденциальных внутренних данных.<br/>
<br/>
Поскольку промпт сформулирован как обычное сообщение для человека, он успешно обходит защиту Microsoft XPIA (cross-prompt injection attack).<br/>
<br/>
Позже, когда пользователь задает Copilot соответствующий рабочий вопрос, вредоносное письмо попадает в контекст LLM через механизм <a href="https://ru.wikipedia.org/wiki/%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D 1%8F,_%D0%B4%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B5%D 0%BD%D0%BD%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B8%D1%81%D0 %BA%D0%BE%D0%BC" target="_blank">Retrieval-Augmented Generation</a> (RAG), благодаря своему форматированию и кажущейся релевантности. Таким образом, вредоносная инъекция, проникшая в LLM, обманывает ИИ-ассистента, вынуждая его извлекать конфиденциальные внутренние данные и передавать их атакующим.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521343/attack-chain1.jpg"/><br/>
<br/>
Исследователи обнаружили, что при использовании некоторых форматов изображений в Markdown браузер автоматически запрашивает картинку, а вместе с этим отправляет URL (в который может быть внедрена чувствительная информация) на сервер злоумышленника.<br/>
<br/>
Microsoft CSP блокирует большинство внешних доменов, однако URL-адреса Microsoft Teams и SharePoint являются доверенными, поэтому их можно использовать для «слива» данных.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521343/ms.jpg"/><br/>
<br/>
Как отмечают эксперты, растущая сложность и глубокая интеграция LLM-приложений в рабочие процессы значительно ослабляет традиционные средства защиты. По их словам, в будущем эта тенденция приведет к появлению новых уязвимостей, которые хакеры смогут незаметно использовать для высокоэффективных атак.<br/>
<br/>
<a href="https://xakep.ru/2025/06/16/echoleak/" target="_blank">@ xakep.ru</a>
</div>