Microsoft, geçen Salı günü M365 Copilot AI platformunda en yüksek kritiklikte değerlendirilen bir zafiyeti sessizce giderdi. Güvenlik firması Aim Security tarafından keşfedilen bu hata, saldırganların Copilot'a erişimli e-postalardan iki faktörlü kimlik doğrulama kodları dahil hassas verileri sadece tek bir dikkatle hazırlanmış mesaj kullanarak çalmalarına izin veriyordu.
CVE-2025-32711 olarak takip edilen ve “EchoLeak” olarak adlandırılan bu zafiyet, 10 üzerinden 9,3 CVSS ciddiyet puanına sahipti.
EchoLeak nasıl çalışıyordu
Saldırı, kurbanın hiçbir tıklamaya gerek duymadan gerçekleşti. Bir saldırgan, Copilot tarafından işlendiğinde yapay zekânın organizasyonel verileri (e-postalar, belgeler, sohbet geçmişleri vb.) dışa aktarmaya ikna edecek şekilde zararlı bir e-posta gönderebilirdi. Aim Security tarafından gösterilen kanıt-temelli saldırı, Copilot'un zehirli mesajı özetlediği veya iletişime geçtiği anda otomatik veri çalma işlemini tetikledi.
Saldırı, Microsoft'un mevcut savunmalarını, arasıra girişim sınıflandırıcılarını ve dış bağlantıların gizlenmesini atladı.
Aim Security, zafiyeti Ocak 2025'te keşfetti ve sorumlu bir şekilde Microsoft'a bildirdi. Microsoft, Mayıs 2025'e kadar sunucu tarafı düzeltmelerini uyguladı, bu da herhangi bir müşteri eylemi gerektirmeyişi anlamına geliyordu. Şirket, düzeltme uygulanmadan önce etkilenen herhangi bir müşteri veya kötü niyetli istismarın farkında olmadığını doğruladı.
Zafiyetin kamuoyuna duyurulması, araştırmacıların Pazartesi günü kanıt-kavram exploit'ini açıklamasıyla yaklaşık 11-12 Haziran civarında ortaya çıkmaya başladı.
Yapay zeka güvenliğinde tekrarlayan bir desen
LLM'lerin, tüm metni tek bir bağlam penceresinde işleyen temel mimarisi, güvenilir talimatlar ile güvensiz veriler arasında bir güvenlik sınırı koymayı hết ölçüde zorlaştırır. Microsoft 365 Copilot, Büyük Dil Modellerini, Getirime Dayalı Üretim (RAG) aracılığıyla kurumsal veri kaynaklarıyla entegre eder ve EchoLeak zafiyeti, bir kullanıcının posta kutusundaki saldırgan tarafından kontrol edilen içeriğin, herhangi bir kullanıcı eylemi olmadan Copilot'u yetkisiz açıklamalara zorladığını göstermiştir.
Saldırının sıfır tıklama doğası, kurumsal ortamlar için özellikle endişe vericidir. Binlerce çalışan boyunca M365 Copilot dağıtan kuruluşlar, hiçbir kullanıcı yanlış yapmadan potansiyel olarak maruz kalmıştır. Saldırı yüzeyi sadece "bir e-posta almak"tı.
Bu, kripto ve Web3 için ne anlama geliyor
Kripto endüstrisi, yapay zeka ajanlarını altyapısına hızla entegre etmeye devam ediyor. Zincir üstü yapay zeka ajanları, otomatikleşmiş işlem botları, yapay zeka destekli cüzdan arayüzleri ve DeFi protokolleri için büyük dil modelleri entegrasyonları yaygınlaşmaktadır. Bu uygulamaların her biri, EchoLeak'in kullandığı aynı temel prompt enjeksiyon sorunuyla karşı karşıyadır.
Sistemde işlenen verilerde yer alan zararlı talimatları takip etmeye zorlanabilen bir AI aracısının, veri çalma ötesinde, fon hareket ettirme, işlem imzalama veya akıllı sözleşmelerle etkileşim kurma yeteneği dahil olmak üzere doğrudan finansal kayıplara neden olabilir.
Kripto dünyasında, kodlar genellikle açık kaynaklıdır ve işlemler geri alınamaz; bu nedenle keşif ve istismar arasındaki pencere, sorumlu bildirim ve hızlı onarımın EchoLeak’ın etkisini sınırladığı kurumsal ortamlara kıyasla çok daha dar olur.