Недавно специалисты выявили новую атаку под названием EchoLeak — zero-click уязвимость в искусственном интеллекте, которая позволяет злоумышленникам похищать конфиденциальные данные из Microsoft 365 Copilot без всякого взаимодействия с пользователем.
Эта серьёзная уязвимость зарегистрирована под номером CVE-2025-32711 и получила оценку опасности 9.3 по шкале CVSS. Для устранения проблемы не требуется никакого действия со стороны пользователя — Microsoft уже выпустила исправление. На данный момент нет данных о том, что уязвимость использовалась злоумышленниками в реальных атаках.
«Внедрение AI-команд в M365 Copilot позволяет неавторизованным хакерам получать доступ к информации через сеть», — говорится в уведомлении компании, опубликованном в среду. Эта уязвимость была устранена в июньском обновлении Patch Tuesday 2025 и стала одной из 68 исправленных ошибок.
Исследователи из Aim Security, обнаружившие эту уязвимость, описывают её как нарушение области действия большой языковой модели (LLM Scope Violation), что даёт возможность обойти механизм подсказок и вызвать непредсказуемое поведение ИИ.
LLM Scope Violation возникает, когда злонамеренные инструкции, спрятанные в ненадёжном контенте (например, во внешнем письме), обманывают ИИ, заставляя его получить и обработать внутренние, защищённые данные без явного разрешения или участия пользователя.
«Такие цепочки позволяют злоумышленникам автоматически вытягивать конфиденциальную и уникальную информацию из контекста M365 Copilot, при этом пользователи не подозревают об атаке и не предпринимают никаких специальных действий», — поясняют в Aim Security. — «Причём интерфейс M365 Copilot доступен исключительно сотрудникам организации.»
Схема атаки выглядит так:
- Внедрение: злоумышленник отправляет в Outlook сотрудника письмо, которое кажется безобидным, но содержит эксплойт LLM Scope Violation;
- Пользователь задаёт Microsoft 365 Copilot рабочий вопрос (например, «Сделай сводку и анализ отчёта о прибылях и убытках»);
- Нарушение области действия: Copilot объединяет вредоносный ввод с конфиденциальными данными в контекст LLM, используя механизм Retrieval-Augmented Generation (RAG);
- Получение: Copilot передаёт украденные данные злоумышленнику через ссылки Microsoft Teams и SharePoint.
«Поскольку EchoLeak — zero-click уязвимость, она открывает злоумышленникам широкие возможности для кражи информации и шантажа», — комментируют в Aim Security. — «Это яркий пример скрытых рисков архитектуры агентов и чат-ботов в современном мире искусственного интеллекта.»
«Во время атаки злоумышленник может изъять максимально чувствительные данные из текущего контекста LLM — при этом ИИ используется против себя самого, чтобы гарантировать утечку самых ценных сведений. Для этого не требуется никаких особых действий со стороны пользователя, и атака работает как в рамках однострочных, так и многошаговых диалогов.»
MCP и продвинутые методы заражения инструментов
Параллельно компания CyberArk предупредила о новой угрозе — атаках на протокол Model Context Protocol (MCP), выходящих за рамки обычного описания инструмента и затрагивающих всю структуру его работы. Этот метод назвали Full-Schema Poisoning (FSP).
«Большинство внимания к атакам на инструменты сосредоточено на поле описания, но это серьёзно недооценивает возможные точки проникновения», — отмечает исследователь Симча Косман. — «Каждый элемент схемы инструмента может стать уязвимым, а не только его описание.»
Основная уязвимость заключается в слишком доверчивой модели MCP, где синтаксическая корректность ошибочно принимается за семантическую безопасность, а считается, что LLM взаимодействует только с чётко описанными сценариями.
Кроме того, TPA и FSP могут применяться для реализации сложных атак (Advanced Tool Poisoning Attack, ATPA), когда инструмент маскируется под безобидный, а подделанные сообщения об ошибках заставляют LLM получать доступ к защищённым данным (например, SSH-ключам) с целью «починки» вымышленной проблемы.
«С ростом возможностей и автономности LLM-агентов их взаимодействие с внешними сервисами через MCP определяет уровень безопасности и надежности систем», — предупреждает Косман. — «Атаки на инструменты, особенно в форме ATPA, выявляют серьёзные уязвимости в современных реализациях.»
Стоит добавить, что MCP позволяет AI-агентам последовательно взаимодействовать с разными сервисами и данными, поэтому любая ошибка в архитектуре клиент-сервер может привести к серьёзным последствиям — от утечки данных до запуска вредоносного кода.
Это подтверждает недавно обнаруженный критический баг в популярной интеграции GitHub с MCP, позволяющий через специально созданную угрозу (GitHub issue) получить контроль над агентом пользователя и заставить его раскрыть приватные репозитории при запросах вроде «посмотри на открытые запросы».
«В вредоносной нагрузке, встроенной в issue, содержится код, который агент запускает при запросе списка public-репозиториев», — объясняют исследователи Invariant Labs Марко Миланта и Лука Бойер-Келлнер, называя это «токсичным потоком агента».
Однако исправить эту проблему только с помощью GitHub нельзя, так как она исходит из архитектурных особенностей. Пользователям рекомендуется тщательно настраивать права доступа и регулярно контролировать взаимодействие агентов с MCP-системами.
Опасности MCP: атака переназначения DNS
Масштабное распространение MCP как связующего звена корпоративной автоматизации и автономных приложений открыло новые возможности для атак, включая переназначение доменных имён (DNS rebinding). Эта техника позволяет злоумышленникам получить доступ к конфиденциальным данным, используя возможности Server-Sent Events (SSE) — протокола для передачи данных в реальном времени между MCP-серверами и клиентами.
Атаки с переназначением DNS заставляют браузер жертвы воспринимать внешний домен как принадлежащий внутренней сети (localhost). Такой приём обходится ограничения политики одинакового происхождения (SOP) и запускается, когда пользователь открывает фишинговый сайт, созданный злоумышленниками с помощью социальной инженерии.
«Между механизмами безопасности браузеров и сетевыми протоколами существует рассогласование», — объясняет Ярослав Лобачевски из GitHub. — «Если IP-адрес страницы меняется, браузер этого не замечает и продолжает считать домен надёжным. Хакеры активно используют эту уязвимость.»
Такой баг даёт возможность JavaScript с вредоносного сайта обойти защитные механизмы и атаковать устройства внутри приватной сети жертвы, скрытой от Интернета.
Атака переназначения MCP использует ресурс злоумышленника, чтобы получить доступ к внутренним ресурсам локальной сети жертвы, взаимодействовать с MCP-сервером на localhost через SSE и в итоге украсть конфиденциальные данные.
«Злоупотребляя постоянными соединениями SSE, хакеры могут перейти от внешнего фишингового домена к атаке внутренних MCP-серверов», — поясняет команда Straiker AI Research (STAR) в отчёте, опубликованном месяц назад.
Стоит напомнить, что с ноября 2024 года SSE признан устаревшим и заменён на Streamable HTTP из-за уязвимости к таким DNS-атакам. Чтобы уменьшить риски, рекомендуется обязательно требовать аутентификацию на MCP-серверах и проверять заголовок «Origin» для всех входящих запросов, убеждаясь, что они исходят только из доверенных источников.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru