Исследователями впервые зафиксирована уязвимость нулевого взаимодействия (Zero-click), связанная с искусственным интеллектом, способная привести к утечке конфиденциальной информации из Microsoft 365 Copilot. Без каких-либо действий со стороны пользователя. Атака, получившая название «EchoLeak», демонстрирует новый тип угрозы, основанный на так называемом нарушении области видимости LLM (Large Language Model).
Методику атаки разработали специалисты Aim Labs в январе 2025 года и незамедлительно сообщили о ней Microsoft. Уязвимость получила идентификатор CVE-2025-32711, классифицирована как критическая, однако была устранена серверной стороной в мае — пользователям не требовалось принимать никаких дополнительных мер. Microsoft также заявила, что не зафиксировано ни одного случая злоупотребления уязвимостью в реальных атаках.
Microsoft 365 Copilot — это интеллектуальный помощник, встроенный в такие продукты, как Word, Excel, Outlook и Teams. Он использует языковые модели OpenAI в связке с Microsoft Graph для генерации текста, анализа данных и ответов на запросы, опираясь на внутренние документы, переписку и другие данные организации.
Несмотря на то, что EchoLeak была устранена ещё до её эксплуатации в реальных условиях, инцидент привлёк внимание к принципиально новому классу уязвимостей. Нарушение области видимости LLM происходит тогда, когда модель начинает обрабатывать и использовать данные, находящиеся за пределами предполагаемого пользовательского контекста, — при этом никакого действия со стороны пользователя не требуется.
EchoLeak как раз относится к такому сценарию. Всё начинается с безобидного на вид письма, оформленного в деловом стиле. Внутри него скрывается специально сформулированный текст — инъекция, ориентированная на модель Copilot. Это сообщение выглядит как обычное деловое письмо и легко проходит проверку встроенного механизма защиты XPIA (Cross-Prompt Injection Attack), призванного блокировать такие атаки.
Позже, когда сотрудник компании обращается к Copilot с вопросом по теме, затронутой в письме, механизм RAG (Retrieval-Augmented Generation) подтягивает текст письма в контекст запроса, поскольку считает его релевантным. В этот момент инъекция попадает в LLM и активируется, заставляя модель извлечь внутренние данные компании и вставить их в ссылку или изображение.
Особую опасность представляет то, что Copilot способен сгенерировать Markdown-ссылку с изображением, загрузка которого происходит автоматически — в том числе и с утечкой встроенных в URL конфиденциальных данных. Такие запросы браузер отправляет на внешний сервер злоумышленника, не требуя от пользователя ни клика, ни подтверждения.
Хотя Microsoft блокирует большинство внешних доменов, Copilot по-прежнему доверяет внутренним ссылкам на Teams и SharePoint. Это доверие можно обойти: скомпрометированные URL-адреса этих сервисов вполне подходят для незаметного вывода данных за пределы инфраструктуры.
Таким образом, даже после устранения, EchoLeak остаётся тревожным предвестником новой эры уязвимостей, ориентированных на ИИ-инструменты. По мере углубления их интеграции в корпоративные процессы количество потенциальных точек входа только растёт, а традиционные средства защиты не всегда способны вовремя реагировать.
Чтобы снизить риск подобных атак, разработчики и администраторы должны усиливать фильтрацию на этапе формирования промптов, ограничивать область видимости LLM-вводов и использовать постобработку, исключающую генерацию внешних ссылок и структурированных ответов. RAG-системы также следует конфигурировать так, чтобы они не загружали внешние коммуникации, способные содержать вредоносные инъекции.