Microsoft 365 Copilot’ta (M365 Copilot) saldırganların dolaylı bilgi ekleme saldırıları yoluyla son e-postalar da dahil olmak üzere hassas kiracı verilerini çalmasına olanak tanıyan karmaşık bir güvenlik açığı.
Araştırmacı Adam Logue tarafından bugün yayınlanan bir blog yazısında ayrıntıları verilen kusur, yapay zeka asistanının Office belgeleriyle entegrasyonunu ve Denizkızı diyagramlarına yönelik yerleşik desteğini kullanarak, ilk tıklamanın ötesinde doğrudan kullanıcı etkileşimi olmadan veri sızdırılmasına olanak tanıyor.
Saldırı, bir kullanıcının M365 Copilot’tan kötü amaçla hazırlanmış bir Excel elektronik tablosunu özetlemesini istemesiyle başlıyor. Birden fazla sayfa boyunca beyaz metin içine yerleştirilmiş gizli talimatlar, yapay zekanın davranışını ele geçirmek için aşamalı görev değişikliğini ve iç içe geçmiş komutları kullanır.
Bu dolaylı istemler özetleme görevini geçersiz kılarak Copilot’u son kurumsal e-postaları almak için search_enterprise_emails aracını çağırmaya yönlendirir. Getirilen içerik daha sonra altıgen kodludur ve Denizkızı’nın karakter sınırlarını aşmak için kısa satırlara bölünür.
Yanıltıcı Diyagramlar Yoluyla Microsoft 365 Copilot Veri Sızıntısı
Copilot, bir kilit emojisiyle güvence altına alınmış bir “oturum açma düğmesi” gibi görünen Markdown benzeri metinlerden akış şemaları ve grafikler oluşturmak için JavaScript tabanlı bir araç olan Deniz Kızı diyagramını oluşturur.
Diyagram, ikna edici bir düğme görünümü için CSS stilini ve kodlanmış e-posta verilerini içeren bir köprüyü içerir.
Kullanıcı, belgenin “hassas” içeriğine erişmenin gerekli olduğuna inanarak bu bağlantıya tıkladığında bağlantı, Burp Collaborator örneği gibi saldırganın sunucusuna yönlendirilir. Onaltılık kodlanmış veri, sunucu günlüklerinden kodu çözülebilecek şekilde sessizce iletir.
Denizkızı’nın hiperlinkler için CSS desteği de dahil olmak üzere esnekliği, bu vektörü özellikle sinsi hale getirdi. Saldırganların yapay zeka ile iletişim kurduğu doğrudan istem enjeksiyonundan farklı olarak bu yöntem, komutları e-posta veya PDF gibi zararsız dosyalara gizleyerek kimlik avı kampanyaları için gizli hale getiriyor.
Adam Logue, M365 Copilot’un kullanıcı etkileşimi gerektirmesine rağmen, uzak görüntüler aracılığıyla sıfır tıklamayla sızmayı mümkün kılan Cursor IDE’deki önceki bir Denizkızı istismarıyla benzerliklere dikkat çekti.
Kapsamlı testlerin ardından yük, Microsoft’un LLM’lerdeki “görev sapmasını” tespit etmeye yönelik TaskTracker araştırmasından ilham aldı. Sorunun yeniden ortaya çıkmasıyla ilgili ilk zorluklara rağmen Microsoft, zinciri doğruladı ve Eylül 2025’e kadar yamalayarak Copilot’un oluşturulmuş Denizkızı diyagramlarından etkileşimli köprüleri kaldırdı.
Keşif zaman çizelgesi, koordinasyonda zorluklar olduğunu gösteriyor. Adam Logue, DEFCON’daki Microsoft Güvenlik Yanıt Merkezi (MSRC) personeliyle yaptığı görüşmelerin ardından 15 Ağustos 2025’te durumun tamamını bildirdi.
Video kanıtları da dahil olmak üzere yinelemelerden sonra MSRC, güvenlik açığını 8 Eylül’de doğruladı ve 26 Eylül’e kadar çözdü. Ancak M365 Copilot ödül kapsamının dışında kaldı ve ödülü reddetti.
Bu olay, özellikle hassas verileri işleyen kurumsal ortamlar için yapay zeka araç entegrasyonlarındaki risklerin altını çiziyor. Copilot gibi LLM’ler API’lere ve dahili kaynaklara bağlandıkça, dolaylı enjeksiyonlara karşı savunmalar kritik olmaya devam ediyor.
Microsoft, devam eden hafifletme önlemlerinin altını çiziyor ancak uzmanlar, kullanıcıları belge kaynaklarını doğrulamaya ve yapay zeka çıktılarını yakından izlemeye çağırıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
