Pierwsza podatność typu „zero-click” w Microsoft 365 Copilot. Dane wyciekały bez ingerencji użytkowników.

Badacze z Aim Security odkryli pierwszą podatność „zero-click” w agencie sztucznej inteligencji (AI). Microsoft 365 Copilot można było zmusić agenta do wyciekania poufnych danych organizacji bez ingerencji przez użytkownika – ofiarę. Wystarczyła wysyłka jednego, odpowiedniego spreparowanego maila.

Podatność otrzymała oznaczenie CVE-2025-32711 z oceną CVSS 9.3 (krytyczna) i została ochrzczona przez badaczy nazwą EchoLeak. Microsoft załatał problem w ramach czerwcowego Patch Tuesday 2025 razem z kilkudziesięcioma innymi lukami spoza AI.

Jak działa EchoLeak?

W świecie LLM, klasyczną wersję tego ataku nazwalibyśmy LLM Scope Violation, czyli sytuację w której dane z zewnątrz organizacji o dużym stopniu niepewności (tj. zewnętrzne źródło), mogą „przekonać” system AI do dostępu i przetwarzania danych wewnętrznych. Mechanizm ataku jest następujący:

1. Wstrzyknięcie promptu (ang. prompt injection) – atakujący wysyła e-mail do skrzynki pracownika zawierający złośliwy payload (prompt) ukryty za pomocą formatowania MD (markdown).
2. Zapytanie użytkowe – odbiorca e-mail wysyła instrukcję do Copilota jako zwykłe pytanie biznesowe (bez świadomości istnienia problemu) – „podsumuj mi dane z zysków”.
3. Mieszanie danych – Copilot miesza niepewne dane z ataku wraz z wrażliwymi danymi poprzez silnik RAG (Retrieval-Augmented Generation)
4. Wyciek – Copilot przekazuje dane atakującemu przez link do Teams i SharePoint.

Podatność była groźna z kilku względów. Przede wszystkim, nie wymagała żadnego kliknięcia. Podatność wykorzystuje domyślne zaufanie Copilota który łączy i przetwarza treści Outlooka i SharePointa bez izolacji tych środowisk. Atakujący także mógł automatycznie wydobywać najbardziej wrażliwe dane z kontekstu i to za pomocą samego Copilota który używa wewnętrznych uprawnień dostępu do dokumentów.

Szersze spektrum techniczne

Z racji istnienia mechanizmu typu Prompt Shields i NOVA-podobnych rozwiązań opartych o wzorce, badacze musieli się nieco nagimnastykować by osiągnąć swój cel. Microsoft Copilot używa klasyfikatorów typu Cross-Prompt Injections Attack do wykrywania i blokowania złośliwych instrukcji. Jednak, jak to ma miejsce już tradycyjnie, ważny jest kontekst całej wypowiedzi, który został sklasyfikowany jako bezpieczny. Wiadomo także, że większość modeli ma założone filtry na linkowanie zewnętrzne. Jednak wykorzystując linki reference-style z Markdown, również tradycyjnie – nie były one już filtrowane.

Jak informuje serwis THN, odkrycie EchoLeak zbiegło się z odnalezieniem szeregu wektorów na protokół MCP (Model Context Protocol) wykorzystywany w komunikacji pomiędzy komponentami agentów AI, o czym Was informujemy w osobnym artykule.

~Tomasz Turba