Исследователи безопасности обнаружили первую в своем роде уязвимость искусственного интеллекта, получившую название EchoLeak. Эта критическая брешь в системе безопасности Microsoft 365 Copilot позволяла злоумышленникам извлекать конфиденциальную корпоративную информацию без какого-либо взаимодействия с пользователями. Уязвимость, зарегистрированная под идентификатором CVE-2025-32711, получила максимальную оценку критичности 9,3 балла по шкале CVSS.
Технические детали уязвимости EchoLeak
Специалисты компании Aim Labs, обнаружившие проблему в январе 2025 года, классифицировали EchoLeak как представителя нового класса угроз — «LLM Scope Violation». Данный тип атак направлен на нарушение границ доступа больших языковых моделей к привилегированным данным организации.
Microsoft 365 Copilot интегрирован в ключевые офисные приложения, включая Word, Excel, Outlook и Teams. Система использует модели OpenAI GPT совместно с Microsoft Graph для анализа внутренних документов, электронной почты и корпоративных чатов, что делает потенциальную утечку данных особенно критичной.
Механизм проведения атаки
Атака EchoLeak демонстрирует высокую степень технической изощренности. Процесс начинается с отправки целевому пользователю вредоносного электронного письма, замаскированного под обычный markdown-документ. Ключевой особенностью является внедрение скрытого промпта, который успешно обходит защитные механизмы Microsoft XPIA (cross-prompt injection attack).
Когда пользователь впоследствии обращается к Copilot с рабочим запросом, вредоносное содержимое автоматически включается в контекст языковой модели через механизм Retrieval-Augmented Generation (RAG). Этот процесс происходит из-за кажущейся релевантности и правильного форматирования подложного контента.
Эксфильтрация данных через доверенные каналы
Для передачи украденной информации злоумышленники используют ingenious подход — встраивание конфиденциальных данных в URL-адреса изображений в markdown-формате. При автоматической загрузке изображений браузер отправляет эти URL на серверы атакующих.
Особую опасность представляет тот факт, что Microsoft CSP (Content Security Policy) блокирует большинство внешних доменов, однако URL-адреса Microsoft Teams и SharePoint остаются доверенными, что открывает легальный канал для эксфильтрации данных.
Масштаб угрозы и потенциальные последствия
Критическая особенность EchoLeak заключается в возможности полной автоматизации атаки. Отсутствие необходимости в активном участии пользователя делает эту угрозу особенно опасной для корпоративных сред, где подобные атаки могут оставаться незамеченными длительное время.
Microsoft оперативно отреагировала на сообщение исследователей и устранила уязвимость на серверной стороне в мае 2025 года. Важно отметить, что исправление не требует каких-либо действий со стороны пользователей. Представители компании подтвердили отсутствие фактов эксплуатации данной уязвимости в реальных атаках.
Новые вызовы кибербезопасности в эпоху ИИ
Обнаружение EchoLeak подчеркивает фундаментальную проблему современной кибербезопасности. Растущая сложность и глубокая интеграция систем искусственного интеллекта в корпоративные рабочие процессы создают новые векторы атак, которые традиционные средства защиты не способны эффективно блокировать.
Эксперты прогнозируют появление аналогичных уязвимостей в будущем, поскольку злоумышленники адаптируют свои методы под специфику работы больших языковых моделей. Это требует пересмотра подходов к обеспечению безопасности ИИ-систем и разработки новых защитных механизмов, учитывающих уникальные особенности машинного обучения.
Случай с EchoLeak демонстрирует необходимость проактивного подхода к безопасности ИИ-систем. Организациям следует регулярно проводить аудит безопасности интегрированных ИИ-решений, внедрять многоуровневые системы мониторинга и обеспечивать своевременное применение обновлений безопасности. Только комплексный подход позволит минимизировать риски, связанные с новым поколением угроз, нацеленных на системы искусственного интеллекта.
