Новая атака
EchoLeak связана с первой известной ИИ-уязвимостью, которая позволяла злоумышленникам извлекать конфиденциальные данные из ИИ-помощника Microsoft 365 Copilot без взаимодействия с пользователем.
Проблему еще в январе 2025 года обнаружили исследователи из компании Aim Labs и уведомили Microsoft о своих выводах. Компания присвоила уязвимости идентификатор
CVE-2025-32711, оценив ее как критическую (9,3 балла по шкале CVSS).
В мае 2025 года ошибка была устранена на стороне сервера, то есть никаких действий со стороны пользователей для ее исправления не требуется. В Microsoft подчеркнули, что специалисты компании не обнаружили никаких признаков эксплуатации проблемы в реальных атаках, и данные клиентов не пострадали.
ИИ-ассистент Microsoft 365 Copilot интегрирован в такие приложения Office, как Word, Excel, Outlook и Teams. Он использует модели OpenAI GPT и Microsoft Graph, чтобы пользователи могли генерировать контент, анализировать данные и отвечать на вопросы на основе внутренних файлов, электронных писем и чатов организации.
Исследователи отмечают, что хотя в настоящее время уязвимость уже устранена, EchoLeak имеет большое значение для демонстрации нового класса уязвимостей типа «LLM Scope Violation», которые приводят к утечке привилегированных внутренних данных из большой языковой модели (LLM) без какого-либо взаимодействия с пользователем.
Поскольку атака не требует взаимодействия с жертвой, она могла быть автоматизирована, например, для незаметной кражи данных в корпоративных средах.
Атака EchoLeak начинается с отправки будущей жертве вредоносного письма, которое оформлено как обычный документ в формате markdown и содержит текст, не имеющий никакого отношения к Copilot. Однако в письмо внедрен скрытый запрос, дающий LLM инструкции по извлечению и сливу конфиденциальных внутренних данных.
Поскольку промпт сформулирован как обычное сообщение для человека, он успешно обходит защиту Microsoft XPIA (cross-prompt injection attack).
Позже, когда пользователь задает Copilot соответствующий рабочий вопрос, вредоносное письмо попадает в контекст LLM через механизм
Retrieval-Augmented Generation (RAG), благодаря своему форматированию и кажущейся релевантности. Таким образом, вредоносная инъекция, проникшая в LLM, обманывает ИИ-ассистента, вынуждая его извлекать конфиденциальные внутренние данные и передавать их атакующим.
Исследователи обнаружили, что при использовании некоторых форматов изображений в Markdown браузер автоматически запрашивает картинку, а вместе с этим отправляет URL (в который может быть внедрена чувствительная информация) на сервер злоумышленника.
Microsoft CSP блокирует большинство внешних доменов, однако URL-адреса Microsoft Teams и SharePoint являются доверенными, поэтому их можно использовать для «слива» данных.
Как отмечают эксперты, растущая сложность и глубокая интеграция LLM-приложений в рабочие процессы значительно ослабляет традиционные средства защиты. По их словам, в будущем эта тенденция приведет к появлению новых уязвимостей, которые хакеры смогут незаметно использовать для высокоэффективных атак.
@ xakep.ru