Изследователи от Aim Labs разкриха през януари 2025 г. опасна уязвимост в Microsoft 365 Copilot, която позволява на злонамерени лица да източат вътрешна информация без каквото и да е действие от страна на потребителя. Уязвимостта, наречена EchoLeak, е първият по рода си случай на така наречена „нулево-кликова“ атака чрез голям езиков модел (LLM) и подчертава нова категория рискове, наречена LLM Scope Violation.

Какво представлява Microsoft 365 Copilot?

Copilot е интелигентен асистент, интегриран в приложения като Word, Excel, Outlook и Teams. Той използва GPT моделите на OpenAI и Microsoft Graph, за да предоставя интелигентни отговори и анализи, базирани на вътрешни фирмени файлове, имейли и чатове.

Как работи EchoLeak?

Атаката започва чрез на пръв поглед обикновен бизнес имейл, изпратен до жертвата. В него е скрито злонамерено подканване (prompt injection), което изглежда като обикновен текст, но всъщност е внимателно форматирано да инструктира езиковия модел да извади чувствителна информация и да я „изпрати“ обратно към нападателя.

Ключов момент е, че не е необходимо жертвата да взаимодейства с имейла – Copilot го обработва в контекста на свой отговор по-късно, когато потребителят зададе свързан въпрос. Благодарение на механизма Retrieval-Augmented Generation (RAG), Copilot извлича имейла като „релевантен“, а LLM-ът несъзнателно изпълнява скритите инструкции.

Сензитивната информация се „вкарва“ в URL адрес, често под формата на изображение в Markdown формат. При визуализация, браузърът автоматично прави заявка към външния сървър и по този начин изпраща данните директно до нападателя, без видима следа за потребителя.

Реакция от Microsoft

Microsoft класифицира уязвимостта като критична (CVE-2025-32711) и я закърпи на ниво сървър още през май 2025 г., без да се изискват действия от страна на потребителите. Компанията подчерта, че няма доказателства за реално използване на EchoLeak в атаки, а уязвимостта е била докладвана отговорно.

Защо това е важно?

Макар EchoLeak да е вече неутрализиран, откритието има важно значение за бъдещето на киберсигурността в ерата на ИИ. То разкрива как езиковите модели могат да бъдат манипулирани да споделят поверителни данни, дори без съзнателно участие от страна на потребителя.

В контекста на разрастващото се внедряване на ИИ в корпоративна среда, подобни уязвимости подчертават нуждата от нови, специализирани механизми за защита, насочени не само към кода, но и към „поведението“ на самите езикови модели.

EchoLeak е предупреждение: в свят, в който ИИ вече има достъп до вътрешни комуникации и чувствителни фирмени документи, сигурността трябва да се преразгледа не само на ниво мрежа и потребител, но и в самата логика на взаимодействие с езиковите модели.