Новий атака, названа “EchoLeak”, є першою відомою уразливістю штучного інтелекту з нульовим кліком, яка дозволяє зловмисникам витягувати конфіденційні дані з Microsoft 365 Copilot з контексту користувача без необхідності в будь-якій взаємодії.

Цю атаку розробили дослідники Aim Labs у січні 2025 року, які повідомили про свої знахідки Microsoft. Компанія присвоїла цій уразливості ідентифікатор CVE-2025-32711, оцінюючи її як критичну, і виправила її на серверному рівні у травні, тож користувачам не потрібно було вживати жодних дій.

Крім того, Microsoft зазначила, що немає доказів реального використання цієї вразливості, тому вона не вплинула на жодного замовника.

Microsoft 365 Copilot — це штучний інтелект, інтегрований у пакеті Office, до якого входять такі додатки, як Word, Excel, Outlook та Teams. Він використовує моделі GPT від OpenAI та Microsoft Graph, щоб допомагати користувачам генерувати контент, аналізувати дані та відповідати на запитання на основі внутрішніх файлів, електронних листів і чату організації.

Попри те, що вразливість була виправлена і ніколи не використовувалася зловмисниками, EchoLeak має значення, оскільки демонструє новий клас уразливостей, відомий як “Порушення обсягу LLM”, що викликає витік привілейованих внутрішніх даних з великих мовних моделей (LLM) без наміру чи взаємодії користувача.

Оскільки атака не вимагає взаємодії з жертвою, її можна автоматизувати для безшумного витоку даних в корпоративних середовищах, що підкреслює небезпеку таких вразливостей у системах, інтегрованих з штучним інтелектом.

Як працює EchoLeak

Атака розпочинається з відправлення зловмисного електронного листа на ціль, який містить текст, не пов’язаний з Copilot, й оформлений так, щоб виглядати як типовий бізнес-документ.

У листі вбудований прихований ін’єкційний запит, розроблений для інструктажу LLM витягти та ексфільтрувати конфіденційні внутрішні дані.

Оскільки запит сформульовано як звичайне повідомлення для людини, він обминає класифікатори захисту Microsoft XPIA (атак з перехресною ін’єкцією запитів).

Пізніше, коли користувач запитує Copilot про пов’язане бізнес-питання, лист завантажується в контекст запиту LLM за допомогою механізму Retrieval-Augmented Generation (RAG) завдяки своєму формулюванню та очевидній релевантності.

Зловмисна ін’єкція, тепер досягнувши LLM, “обманює” його, змушуючи витягувати конфіденційні внутрішні дані та вставляти їх у сформований лінк або зображення.

Aim Labs виявили, що деякі формати зображень markdown викликають запит браузера на отримання зображення, що автоматично надсилає URL, включаючи вбудовані дані, на сервер зловмисника.

Microsoft CSP блокує більшість зовнішніх доменів, але URL-адреси Microsoft Teams та SharePoint вважаються надійними, тому їх можна використовувати для ексфільтрації даних без проблем.

Попри те, що EchoLeak була виправлена, зростаюча складність та глибша інтеграція додатків LLM у бізнес-процеси вже перевантажують традиційні захисти.

Ця ж тенденція, ймовірно, призведе до виникнення нових вразливостей, які супротивники можуть непомітно використовувати для високоефективних атак.

Важливо, щоб підприємства зміцнили свої фільтри ін’єкції запитів, реалізували детальне обмеження вводу та застосували фільтри постобробки на виході LLM для блокування відповідей, що містять зовнішні посилання або структуровані дані.

Крім того, механізми RAG можна налаштувати на виключення зовнішніх комунікацій, щоб уникнути отримання зловмисних запитів спочатку.