Kako Microsoft 365 Copilot hakerima može otkriti vaše tajne podatke

Vesti, 13.06.2025, 11:30 AM

Firma za sajber bezbednost Aim Labs otkrila je ozbiljan bezbednosni problem, nazvan EchoLeak, koji pogađa Microsoft 365 (M365) Copilot. Ova greška je ranjivost bez klika, što znači da napadači mogu ukrasti osetljive informacije kompanije bez interakcije korisnika.

Aim Labs je podelio detalje o ovoj ranjivosti i kako se ona može iskoristiti. Za sada nema dokaza da je ranjivost ikada iskorišena .

M365 Copilot je četbot koji prikuplja informacije iz korisničkog poslovnog okruženja kao što su imejlovi, fajlovi na OneDrive-u, SharePoint sajtovi i Teams četovi kako bi odgovorio na pitanja. Iako je Copilot dizajniran da pristupa samo fajlovima za koje korisnik ima dozvolu, ovi fajlovi i dalje mogu da sadrže privatne ili poverljive podatke kompanije.

Glavni problem sa EchoLeak-om je nova vrsta napada koju Aim Labs naziva LLM Scope Violation. Ovo se dešava kada instrukcije napadača, poslate imejlom, navedu veštačku inteligenciju (Large Language Model, ili LLM) da greškom pristupa privatnim podacima kompanije. U suštini, to navodi veštačku inteligenciju da krši sopstvena pravila o tome kojim informacijama sme da pristupa. Aim Labs ovo opisuje kao „neprivilegovanu e-poštu“ koja nekako može da se „poveže sa privilegovanim podacima“.

Napad počinje kada žrtva primi imejl, vešto napisan tako da izgleda kao uputstvo za osobu koja je prima, a ne za veštačku inteligenciju. Ovaj trik pomaže da se prođe pored Microsoft-ovih bezbednosnih filtera, nazvanih XPIA klasifikatori, koji zaustavljaju štetne instrukcije veštačke inteligencije. Kada Copilot pročita imejl, može biti prevaren da pošalje osetljive informacije van mreže kompanije.

Aim Labs je objasnio da su, kako bi došli do podataka, morali da pronađu načine da zaobiđu Copilot-ovu odbranu, poput pokušaja da sakrije spoljne linkove i kontroliše koji podaci mogu da se šalju. Koristeći način na koji se rukuje linkovima i slikama, pa čak i način na koji SharePoint i Microsoft Teams upravljaju URL-ovima, istraživači su pronašli način da tajno pošalju podatke na server napadača. Na primer, pronašli su način na koji se određeni Microsoft Teams URL može koristiti za preuzimanje poverljivih informacija bez ikakve akcije korisnika.

Ovo otkriće pokazuje da problemi sa dizajnom postoje kod mnogih AI četbotova i agenata. Za razliku od ranijih istraživanja, Aim Labs je pokazao praktičan način na koji se ovaj napad može koristiti za krađu veoma osetljivih podataka. Napad čak ne zahteva da korisnik učestvuje u razgovoru sa Copilot-om.

Za sada, kompanije koje koriste M365 Copilot bi trebalo da budu svesne ove nove vrste pretnje. One bi trebalo da tretiraju AI asistente kao kritičnu infrastrukturu, primenjujući strože kontrole unosa i onemogućiti funkcije poput eksternog unosa imejlova kako bi se sprečila zloupotreba.

Foto: Tadas Sar | Unsplash