Критическая уязвимость Copilot позволяла автоматически извлекать конфиденциальные данные пользователей простой отправкой электронного письма.
EchoLeak стала первой известной уязвимостью zero-click в помощнике с искусственным интеллектом. Она касалась Microsoft 365 Copilot, интегрированного в несколько программ Office, включая Word, Excel, Outlook, PowerPoint и Teams. По словам исследователей Aim Security, которые ее обнаружили, эксплойт позволял злоумышленникам получать доступ к конфиденциальной информации из программ и источников данных, подключенных к Copilot, без какого-либо взаимодействия с пользователем.
Нужное для атаки вредоносное электронное письмо не содержит никаких фишинговых ссылок или вложений вредоносного программного обеспечения. Атака использовала новую технику, известную как LLM Scope Violation, которая манипулирует внутренней больших языковых моделей, чтобы настроить агента ИИ на вредоносные действия.
Подобный подход может быть использован для компрометации других чат-ботов и агентов ИИ в будущем. Поскольку он направлен на фундаментальные недостатки проектирования в том, как эти системы управляют контекстом и доступом к данным, даже передовые платформы могут быть уязвимы.
Компания Aim Security обнаружила недостаток в январе и немедленно сообщила о нем в Центр реагирования Microsoft. Однако компании понадобилось почти пять месяцев, чтобы решить проблему. Ее соучредитель и технический директор Адир Грусс говорит, что это чрезвычайно долго.
Microsoft имела готовое исправление к апрелю, но его выпуск был отложен после того, как инженеры обнаружили дополнительные уязвимости в мае. Сначала компания пыталась сдержать EchoLeak, блокируя ее пути через пораженные программы, но эти усилия потерпели неудачу из-за непредсказуемого поведения искусственного интеллекта и огромного пространства для возможных атак.
Microsoft опубликовала заявление, в котором поблагодарила Aim Security за ответственное раскрытие информации о проблеме и подтвердила, что она была полностью устранена. Исправление автоматически применимо ко всем продуктам, на которые повлияло, и не требует никаких действий от конечных пользователей.
Источники: Fortune, TechSpot
