Основы Интернет - технологий.

Новая атака EchoLeak связана с первой известной ИИ-уязвимостью, которая позволяла злоумышленникам извлекать конфиденциальные данные из ИИ-помощника Microsoft 365 Copilot без взаимодействия с пользователем. Проблему еще в январе 2025 года обнаружили исследователи из компании Aim Labs и уведомили Microsoft о своих выводах. Компания присвоила уязвимости идентификатор CVE-2025-32711, оценив ее как критическую (9,3 балла по шкале CVSS). В мае 2025 года ошибка была устранена на стороне сервера, то есть никаких действий со стороны пользователей для ее исправления не требуется. В Microsoft подчеркнули, что специалисты компании не обнаружили никаких признаков эксплуатации проблемы в реальных атаках, и данные клиентов не пострадали. ИИ-ассистент Microsoft 365 Copilot интегрирован в такие приложения Office, как Word, Excel, Outlook и Teams. Он использует модели OpenAI GPT и Microsoft Graph, чтобы пользователи могли генерировать контент, анализировать данные и отвечать на вопросы на основе внутренних файлов, электронных писем и чатов организации. Исследователи отмечают, что хотя в настоящее время уязвимость уже устранена, EchoLeak имеет большое значение для демонстрации нового класса уязвимостей типа «LLM Scope Violation», которые приводят к утечке привилегированных внутренних данных из большой языковой модели (LLM) без какого-либо взаимодействия с пользователем. Поскольку атака не требует взаимодействия с жертвой, она могла быть автоматизирована, например, для незаметной кражи данных в корпоративных средах. Атака EchoLeak начинается с отправки будущей жертве вредоносного письма, которое оформлено как обычный документ в формате markdown и содержит текст, не имеющий никакого отношения к Copilot. Однако в письмо внедрен скрытый запрос, дающий LLM инструкции по извлечению и сливу конфиденциальных внутренних данных. Поскольку промпт сформулирован как обычное сообщение для человека, он успешно обходит защиту Microsoft XPIA (cross-prompt injection attack). Позже, когда пользователь задает Copilot соответствующий рабочий вопрос, вредоносное письмо попадает в контекст LLM через механизм Retrieval-Augmented Generation (RAG), благодаря своему форматированию и кажущейся релевантности. Таким образом, вредоносная инъекция, проникшая в LLM, обманывает ИИ-ассистента, вынуждая его извлекать конфиденциальные внутренние данные и передавать их атакующим. Исследователи обнаружили, что при использовании некоторых форматов изображений в Markdown браузер автоматически запрашивает картинку, а вместе с этим отправляет URL (в который может быть внедрена чувствительная информация) на сервер злоумышленника. Microsoft CSP блокирует большинство внешних доменов, однако URL-адреса Microsoft Teams и SharePoint являются доверенными, поэтому их можно использовать для «слива» данных. Как отмечают эксперты, растущая сложность и глубокая интеграция LLM-приложений в рабочие процессы значительно ослабляет традиционные средства защиты. По их словам, в будущем эта тенденция приведет к появлению новых уязвимостей, которые хакеры смогут незаметно использовать для высокоэффективных атак.