Критична вразливість Copilot дозволяла автоматично витягувати конфіденційні дані користувачів простим надсиланням електронного листа.
EchoLeak стала першою відомою вразливістю zero-click у помічнику зі штучним інтелектом. Вона стосувалася Microsoft 365 Copilot, інтегрованого в кілька програм Office, включаючи Word, Excel, Outlook, PowerPoint та Teams. За словами дослідників Aim Security, які її виявили, експлойт дозволяв зловмисникам отримувати доступ до конфіденційної інформації з програм та джерел даних, підключених до Copilot, без будь-якої взаємодії з користувачем.
Потрібний для атаки шкідливий електронний лист не містить жодних фішингових посилань чи вкладень шкідливого програмного забезпечення. Атака використовувала нову техніку, відому як LLM Scope Violation, яка маніпулює внутрішньою великих мовних моделей, щоб налаштувати агента ШІ на шкідливі дії.
Подібний підхід може бути використаний для компрометації інших чатботів та агентів ШІ у майбутньому. Оскільки він спрямований на фундаментальні недоліки проєктування в тому, як ці системи керують контекстом та доступом до даних, навіть передові платформи можуть бути вразливими.
Компанія Aim Security виявила недолік у січні та негайно повідомила про нього до Центру реагування Microsoft. Однак компанії знадобилося майже п’ять місяців, щоб розв’язувати проблему. Її співзасновник і технічний директор Адір Грусс каже, що це надзвичайно довго.
Microsoft мала готове виправлення до квітня, але його випуск був відкладений після того, як інженери виявили додаткові вразливості у травні. Спочатку компанія намагалася стримати EchoLeak, блокуючи її шляхи через уражені програми, але ці зусилля зазнали невдачі через непередбачувану поведінку штучного інтелекту та величезний простір для можливих атак.
Microsoft опублікувала заяву, в якій подякувала Aim Security за відповідальне розкриття інформації про проблему та підтвердила, що її було повністю усунено. Виправлення автоматично застосовано до всіх продуктів, на які вплинуло, і не вимагає жодних дій від кінцевих користувачів.