- 19,455
- 40
- 8 Ноя 2022
Данные ушли не потому, что кто-то кликнул, а потому, что кто-то спросил.
Исследователями впервые зафиксирована Для просмотра ссылки Войдиили Зарегистрируйся нулевого взаимодействия ( Для просмотра ссылки Войди или Зарегистрируйся ), связанная с искусственным интеллектом, способная привести к утечке конфиденциальной информации из Microsoft 365 Copilot. Без каких-либо действий со стороны пользователя. Атака, получившая название «EchoLeak», демонстрирует новый тип угрозы, основанный на так называемом нарушении области видимости LLM (Large Language Model).
Методику атаки Для просмотра ссылки Войдиили Зарегистрируйся специалисты Aim Labs в январе 2025 года и незамедлительно сообщили о ней Microsoft. Уязвимость получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся , классифицирована как критическая, однако была устранена серверной стороной в мае — пользователям не требовалось принимать никаких дополнительных мер. Microsoft также заявила, что не зафиксировано ни одного случая злоупотребления уязвимостью в реальных атаках.
Microsoft 365 Copilot — это интеллектуальный помощник, встроенный в такие продукты, как Word, Excel, Outlook и Teams. Он использует языковые модели OpenAI в связке с Microsoft Graph для генерации текста, анализа данных и ответов на запросы, опираясь на внутренние документы, переписку и другие данные организации.
Несмотря на то, что EchoLeak была устранена ещё до её эксплуатации в реальных условиях, инцидент привлёк внимание к принципиально новому классу уязвимостей. Нарушение области видимости LLM происходит тогда, когда модель начинает обрабатывать и использовать данные, находящиеся за пределами предполагаемого пользовательского контекста, — при этом никакого действия со стороны пользователя не требуется.
EchoLeak как раз относится к такому сценарию. Всё начинается с безобидного на вид письма, оформленного в деловом стиле. Внутри него скрывается специально сформулированный текст — инъекция, ориентированная на модель Copilot. Это сообщение выглядит как обычное деловое письмо и легко проходит проверку встроенного механизма защиты XPIA (Cross-Prompt Injection Attack), призванного блокировать такие атаки.
Позже, когда сотрудник компании обращается к Copilot с вопросом по теме, затронутой в письме, механизм RAG (Retrieval-Augmented Generation) подтягивает текст письма в контекст запроса, поскольку считает его релевантным. В этот момент инъекция попадает в LLM и активируется, заставляя модель извлечь внутренние данные компании и вставить их в ссылку или изображение.
Особую опасность представляет то, что Copilot способен сгенерировать Markdown-ссылку с изображением, загрузка которого происходит автоматически — в том числе и с утечкой встроенных в URL конфиденциальных данных. Такие запросы браузер отправляет на внешний сервер злоумышленника, не требуя от пользователя ни клика, ни подтверждения.
Хотя Microsoft блокирует большинство внешних доменов, Copilot по-прежнему доверяет внутренним ссылкам на Teams и SharePoint. Это доверие можно обойти: скомпрометированные URL-адреса этих сервисов вполне подходят для незаметного вывода данных за пределы инфраструктуры.
Таким образом, даже после устранения, EchoLeak остаётся тревожным предвестником новой эры уязвимостей, ориентированных на Для просмотра ссылки Войдиили Зарегистрируйся . По мере углубления их интеграции в корпоративные процессы количество потенциальных точек входа только растёт, а традиционные средства защиты не всегда способны вовремя реагировать.
Чтобы снизить риск подобных атак, разработчики и администраторы должны усиливать фильтрацию на этапе формирования промптов, ограничивать область видимости LLM-вводов и использовать постобработку, исключающую генерацию внешних ссылок и структурированных ответов. RAG-системы также следует конфигурировать так, чтобы они не загружали внешние коммуникации, способные содержать Для просмотра ссылки Войдиили Зарегистрируйся .
Исследователями впервые зафиксирована Для просмотра ссылки Войди
Методику атаки Для просмотра ссылки Войди
Microsoft 365 Copilot — это интеллектуальный помощник, встроенный в такие продукты, как Word, Excel, Outlook и Teams. Он использует языковые модели OpenAI в связке с Microsoft Graph для генерации текста, анализа данных и ответов на запросы, опираясь на внутренние документы, переписку и другие данные организации.
Несмотря на то, что EchoLeak была устранена ещё до её эксплуатации в реальных условиях, инцидент привлёк внимание к принципиально новому классу уязвимостей. Нарушение области видимости LLM происходит тогда, когда модель начинает обрабатывать и использовать данные, находящиеся за пределами предполагаемого пользовательского контекста, — при этом никакого действия со стороны пользователя не требуется.
EchoLeak как раз относится к такому сценарию. Всё начинается с безобидного на вид письма, оформленного в деловом стиле. Внутри него скрывается специально сформулированный текст — инъекция, ориентированная на модель Copilot. Это сообщение выглядит как обычное деловое письмо и легко проходит проверку встроенного механизма защиты XPIA (Cross-Prompt Injection Attack), призванного блокировать такие атаки.
Позже, когда сотрудник компании обращается к Copilot с вопросом по теме, затронутой в письме, механизм RAG (Retrieval-Augmented Generation) подтягивает текст письма в контекст запроса, поскольку считает его релевантным. В этот момент инъекция попадает в LLM и активируется, заставляя модель извлечь внутренние данные компании и вставить их в ссылку или изображение.
Особую опасность представляет то, что Copilot способен сгенерировать Markdown-ссылку с изображением, загрузка которого происходит автоматически — в том числе и с утечкой встроенных в URL конфиденциальных данных. Такие запросы браузер отправляет на внешний сервер злоумышленника, не требуя от пользователя ни клика, ни подтверждения.
Хотя Microsoft блокирует большинство внешних доменов, Copilot по-прежнему доверяет внутренним ссылкам на Teams и SharePoint. Это доверие можно обойти: скомпрометированные URL-адреса этих сервисов вполне подходят для незаметного вывода данных за пределы инфраструктуры.
Таким образом, даже после устранения, EchoLeak остаётся тревожным предвестником новой эры уязвимостей, ориентированных на Для просмотра ссылки Войди
Чтобы снизить риск подобных атак, разработчики и администраторы должны усиливать фильтрацию на этапе формирования промптов, ограничивать область видимости LLM-вводов и использовать постобработку, исключающую генерацию внешних ссылок и структурированных ответов. RAG-системы также следует конфигурировать так, чтобы они не загружали внешние коммуникации, способные содержать Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
