Microsoft тихо устранила уязвимость, оцененную как максимально критическая, в своей платформе M365 Copilot во вторник прошлой недели. Эта уязвимость, обнаруженная компанией Aim Security, позволяла злоумышленникам похищать конфиденциальные данные, включая коды двухфакторной аутентификации, из электронных писем, доступных Copilot, используя всего лишь одно специально подготовленное сообщение.
Уязвимость, идентифицированная как CVE-2025-32711 и получившая название «EchoLeak», имеет рейтинг серьезности CVSS 9,3 из 10.
Как работал EchoLeak
Атака не требовала никаких действий от жертвы. Злоумышленник мог отправить вредоносное письмо, которое при обработке Copilot заставляло ИИ экстрагировать корпоративные данные: электронные письма, документы, истории чатов и всё остальное. Демонстрация эксплуатации, проведённая Aim Security, показала автоматическую кражу данных, запускаемую просто при суммировании или взаимодействии Copilot с отравленным сообщением.
Атака обшла существующие защиты Microsoft, включая классификаторы перекрестных инъекций запросов и удаление внешних ссылок.
Aim Security обнаружила и ответственно сообщила о уязвимости Microsoft в январе 2025 года. Microsoft внедрила исправления на стороне сервера к маю 2025 года, что означает, что действия со стороны клиентов не требовались. Компания подтвердила, что до применения патча не имела информации о каких-либо затронутых клиентах или злонамеренном использовании уязвимости.
Публичное раскрытие уязвимости начало появляться примерно 11–12 июня, когда исследователи представили свой эксплойт-доказательство концепции в понедельник.
Повторяющийся паттерн в безопасности ИИ
Фундаментальная архитектура LLM, которые обрабатывают весь текст в едином контекстном окне, делает чрезвычайно сложным обеспечение границы безопасности между доверенными инструкциями и ненадежными данными. Microsoft 365 Copilot интегрирует крупные языковые модели с источниками корпоративных данных через Retrieval-Augmented Generation (RAG), а уязвимость EchoLeak продемонстрировала, как содержимое, контролируемое злоумышленником, в почтовом ящике пользователя может заставить Copilot раскрыть информацию без разрешения без каких-либо действий со стороны пользователя.
Нулевое взаимодействие при атаке делает её особенно тревожной для корпоративных сред. Организации, развернувшие M365 Copilot для тысяч сотрудников, потенциально подверглись риску, даже если ни один пользователь не совершил ошибки. Поверхность атаки сводилась просто к «получению электронного письма».
Что это значит для криптовалюты и Web3
Криптовалютная индустрия быстро интегрирует ИИ-агенты в свою инфраструктуру. Ончейн ИИ-агенты, автоматизированные торговые боты, интерфейсы кошельков на основе ИИ и интеграции крупных языковых моделей для протоколов DeFi становятся все более распространенными. Каждая из этих реализаций сталкивается с одной и той же фундаментальной проблемой внедрения запросов, которую использовал EchoLeak.
Если агент ИИ, управляющий транзакциями в цепочке, может быть обманут и заставлен выполнять вредоносные инструкции, встроенные в обрабатываемые им данные, последствия выходят за рамки кражи данных и включают прямые финансовые потери, включая возможность перемещения средств, подписания транзакций или взаимодействия со смарт-контрактами.
В криптовалюте, где код часто является открытым, а транзакции необратимы, окно между обнаружением и эксплуатацией значительно уже, чем в корпоративных средах, где ответственное раскрытие и быстрое устранение уязвимостей ограничили последствия EchoLeak.