Microsoft тихо усунула вразливість, оцінену як максимально критична, у своїй платформі M365 Copilot AI минулий вівторок. Ця вразливість, виявлена компанією з кібербезпеки Aim Security, дозволяла зловмисникам викрадати конфіденційні дані, включаючи коди двофакторної автентифікації, з електронних листів, до яких має доступ Copilot, використовуючи лише один добре спроектований лист.
Уразливість, відома як CVE-2025-32711 і названа «EchoLeak», мала рейтинг серйозності CVSS 9,3 з 10.
Як працював EchoLeak
Атака не вимагала жодних дій від жертви. Зловмисник міг надіслати шкідливий лист, який, коли його обробляв Copilot, міг обманути ШІ, щоб той викрав організаційні дані: листи, документи, історії чатів — все. Демонстрація концепції доведення, проведена Aim Security, показала автоматичне викрадення даних, яке запускалося просто через резюмування або взаємодію Copilot із отруєним повідомленням.
Атака обійшла існуючі захисти Microsoft, включаючи класифікатори перехресних запитів і видалення зовнішніх посилань.
Aim Security виявила та повідомила про вразливість Microsoft у січні 2025 року. Microsoft впровадила виправлення на стороні сервера до травня 2025 року, що означає, що дій від клієнтів не вимагалося. Компанія підтвердила, що не мала інформації про будь-яких постраждалих клієнтів або зловживань до застосування виправлення.
Публічне розкриття вразливості почало з’являтися приблизно 11–12 червня, коли дослідники розкрили свій доказ концепції експлойту в понеділок.
Повторюваний патерн у безпеці ШІ
Фундаментальна архітектура LLM, які обробляють весь текст у єдиному контекстному вікні, робить надзвичайно складним забезпечення безпеки між довіреними інструкціями та недовіреними даними. Microsoft 365 Copilot інтегрує великі мовні моделі з джерелами підприємницьких даних за допомогою Retrieval-Augmented Generation (RAG), а вразливість EchoLeak продемонструвала, як вміст, що контролюється зловмисником у поштовій скриньці користувача, може маніпулювати Copilot для несанкціонованих розголошень без будь-яких дій з боку користувача.
Нульовий клік при атаки робить її особливо тривожною для корпоративних середовищ. Організації, які розгорнули M365 Copilot для тисяч співробітників, потенційно були підвержені ризику, не потребуючи жодної помилки з боку окремого користувача. Поверхня атаки просто полягала у «отриманні електронного листа».
Що це означає для криптовалют та Web3
Криптоіндустрія швидко інтегрує AI-агенти у свою інфраструктуру. On-chain AI-агенти, автоматизовані торгові боти, інтерфейси гаманців з підтримкою AI та інтеграції великих мовних моделей для DeFi-протоколів поширюються. Кожна з цих реалізацій стикається з тією ж фундаментальною проблемою ін’єкції запитів, яку використав EchoLeak.
Якщо агент ШІ, який керує транзакціями в ланцюгу, може бути обманутий і виконувати зловмисні інструкції, вбудовані в дані, які він обробляє, наслідки поширюються за межі витоку даних на прямі фінансові втрати, включаючи можливість переміщення коштів, підписання транзакцій або взаємодії з смартконтрактами.
У криптовалюті, де код часто є відкритим, а транзакції є незворотними, час між виявленням та експлуатацією значно менший, ніж у корпоративних середовищах, де відповідальне розголошення та швидке виправлення обмежили вплив EchoLeak.