У січні 2025 року дослідники кібербезпеки виявили революційну за своєю природою уразливість штучного інтелекту, яка отримала назву EchoLeak. Ця критична брешь у системі Microsoft 365 Copilot дозволяла зловмисникам отримувати доступ до конфіденційної корпоративної інформації без будь-якої взаємодії з користувачами. Уразливість зареєстрована під ідентифікатором CVE-2025-32711 і отримала максимальний бал критичності 9,3 за шкалою CVSS.
Що представляє собою уразливість EchoLeak
Фахівці компанії Aim Labs, які виявили цю проблему, класифікували EchoLeak як представника принципово нового класу кіберзагроз — «LLM Scope Violation». Цей тип атак спрямований на порушення меж доступу великих мовних моделей до привілейованих організаційних даних.
Microsoft 365 Copilot інтегрований у ключові офісні додатки, включаючи Word, Excel, Outlook та Teams. Система використовує моделі OpenAI GPT разом із Microsoft Graph для аналізу внутрішніх документів, електронної пошти та корпоративних чатів, що робить потенційний витік даних особливо небезпечним.
Механізм проведення атаки EchoLeak
Атака демонструє високий рівень технічної складності та винахідливості. Процес розпочинається з відправлення цільовому користувачу шкідливого електронного листа, замаскованого під звичайний markdown-документ. Ключовою особливістю є впровадження прихованого промпта, який успішно обходить захисні механізми Microsoft XPIA (cross-prompt injection attack).
Коли користувач згодом звертається до Copilot із робочим запитом, шкідливий вміст автоматично включається в контекст мовної моделі через механізм Retrieval-Augmented Generation (RAG). Цей процес відбувається через видиму релевантність та правильне форматування підробленого контенту.
Ексфільтрація даних через довірені канали
Для передачі викрадених даних зловмисники використовують інноваційний підхід — вбудовування конфіденційної інформації в URL-адреси зображень у markdown-форматі. При автоматичному завантаженні зображень браузер відправляє ці URL на сервери атакуючих.
Особливу небезпеку представляє той факт, що Microsoft CSP (Content Security Policy) блокує більшість зовнішніх доменів, проте URL-адреси Microsoft Teams та SharePoint залишаються довіреними, що відкриває легальний канал для ексфільтрації даних.
Масштаб загрози та потенційні наслідки
Критична особливість EchoLeak полягає в можливості повної автоматизації атаки. Відсутність необхідності в активній участі користувача робить цю загрозу особливо небезпечною для корпоративних середовищ, де подібні атаки можуть залишатися непоміченими протягом тривалого часу.
Microsoft оперативно відреагувала на повідомлення дослідників і усунула уразливість на серверній стороні в травні 2025 року. Важливо зазначити, що виправлення не вимагає жодних дій з боку користувачів. Представники компанії підтвердили відсутність фактів експлуатації даної уразливості в реальних атаках.
Нові виклики кібербезпеки в епоху штучного інтелекту
Виявлення EchoLeak підкреслює фундаментальну проблему сучасної кібербезпеки. Зростаюча складність та глибока інтеграція систем штучного інтелекту в корпоративні робочі процеси створюють нові вектори атак, які традиційні засоби захисту не здатні ефективно блокувати.
Експерти прогнозують появу аналогічних уразливостей у майбутньому, оскільки зловмисники адаптують свої методи під специфіку роботи великих мовних моделей. Це вимагає перегляду підходів до забезпечення безпеки ШІ-систем та розробки нових захисних механізмів, що враховують унікальні особливості машинного навчання.
Випадок з EchoLeak демонструє необхідність проактивного підходу до безпеки ШІ-систем. Організаціям слід регулярно проводити аудит безпеки інтегрованих ШІ-рішень, впроваджувати багаторівневі системи моніторингу та забезпечувати своєчасне застосування оновлень безпеки. Лише комплексний підхід дозволить мінімізувати ризики, пов’язані з новим поколінням загроз, спрямованих на системи штучного інтелекту.
