Copilot: Microsoft став жертвою першого порушення безпеки

У Microsoft 365 Copilot було виявлено критичну вразливість під назвою EchoLeak, яка дозволяла викрадати конфіденційні дані без будь-якої взаємодії з користувачем. Класифікована як CVE-2025-32711 з оцінкою CVSS 9,3, ця вразливість з нульовим кліком використовувала внутрішні механізми генеративних мовних моделей. Дослідники Aim Security продемонстрували, як простий шкідливий електронний лист може обійти всі засоби захисту, щоб викрасти документи Outlook, OneDrive та SharePoint.

EchoLeak: Коли ШІ стає вектором атаки

Помічники ШІ, такі як Copilot, покладаються на архітектуру Retrieval-Augmented Generation (RAG), яка запитує внутрішні бази даних для надання контекстних відповідей. Саме цей механізм використовував EchoLeak. На відміну від традиційних атак, спрямованих на брандмауери або паролі, ця вразливість атакує саму логіку мовної моделі. Наслідки серйозні:

• Немає потреби натискати на посилання або відкривати вкладення
• Можливе викрадання даних, позначених як конфіденційні
• Обхід політик запобігання втраті даних (DLP)
• Експлуатація через легітимні платформи Microsoft, такі як SharePoint

Microsoft швидко відреагувала патчем для сервера в червні 2025 року, але цей епізод служить нагадуванням про те, що генеративні технології вводять нові ризики в кібербезпеці

Чотириетапний механізм експлуатації

Команда Aim Security задокументувала особливо складну ланцюгову атаку. Ось як хакери змогли перекачати дані, не викликаючи підозр:

1. Приховане введення запиту

Здавалося б, нешкідливий електронний лист містив приховані інструкції для Copilot, ретельно сформульовані, щоб уникнути атак перехресного введення запиту (XPIA). Не використовувалися такі терміни, як «AI» або «command», що обдурило фільтри безпеки.

2. Генерація шкідливих посилань

Copilot маніпулювали для створення посилань Markdown, що посилаються на зовнішні домени. Ці посилання уникали перевірок безпеки, оскільки модель не ідентифікувала їх як загрозливі.

3. Обхід захисту зображень

Замість того, щоб покладатися на клік користувача, атака примусово завантажувала зображення Markdown. Унікальна особливість? Ці зображення вказували на сервери, контрольовані зловмисниками.

4. Використання білих списків Microsoft

Геніальний хід: використання SharePoint як ретранслятора. Оскільки ця платформа була авторизована в Політиці безпеки контенту (CSP), викрадені дані проходили через легітимну інфраструктуру.

Уроки для адміністраторів

Це порушення демонструє, що сучасні цифрові сервіси потребують переглянутий підхід до безпеки. Необхідно вжити кількох заходів: Аудит дозволів облікового запису SharePoint Обмежити Copilot лише внутрішніми обмінами

• Оновити політики DLP, щоб включити виходи штучного інтелекту
• Моніторинг незвичайних запитів API до LLM
• Microsoft тепер рекомендує вимкнути обробку зовнішніх електронних листів Copilot у конфіденційних середовищах. Базовий запобіжний захід, але такий, який міг би уникнути багатьох проблем.
• Майбутнє помічників штучного інтелекту в бізнесі

EchoLeak знаменує собою поворотний момент в

IT-безпеці

генеративних інструментів. Компанії тепер повинні враховувати, що: LLM впроваджують нові вектори атак Традиційних політик безпеки недостатньо

• Навчання користувачів недостатньо для боротьби з нульовим кліком
• Аудит моделей штучного інтелекту має стати систематичним
• Постачальникам, ймовірно, доведеться розробляти спеціалізовані рішення для захисту цих нових інтерфейсів людина-машина. Тим часом принцип найменших привілеїв залишається найкращим захистом.
• Microsoft стикається з викликами безпечного штучного інтелекту

Епізод EchoLeak показує межі

розробки

Швидке розгортання функцій штучного інтелекту. Microsoft відреагував належним чином, але питання залишаються: Чому тести безпеки не виявили цей недолік? Як ми можемо покращити стійкість моделей до ін’єкцій?

• Чи слід ізолювати LLM від критично важливих даних?
• Одне можна сказати напевно: ера помічників штучного інтелекту вимагає нового підходу до кібербезпеки, де кожна взаємодія має розглядатися як потенційно ворожа. Старих рецептів більше не буде достатньо.