Siber güvenlik firması AIM Labs, EchoLeak adında ve popüler bir AI asistanı olan Microsoft 365 (M365) Copilot’u etkileyen ciddi yeni bir güvenlik sorunu ortaya çıkardı. Bu kusur sıfır tıkalı bir güvenlik açığıdır, yani saldırganlar kullanıcı etkileşimi olmadan hassas şirket bilgilerini çalabilirler.
AIM Labs, bu güvenlik açığının ve Microsoft’un güvenlik ekibiyle nasıl kullanılabileceğinin ayrıntılarını paylaştı ve şimdiye kadar bu yeni tehditten etkilenen hiçbir müşterinin farkında değil.
“Echoleak” nasıl çalışır: Yeni bir tür AI saldırısı
Bilgileriniz için M365 Copilot, RAG tabanlı bir sohbet botudur, yani bir kullanıcının şirket ortamından e-postalar, OneDrive’daki dosyalar, SharePoint siteleri ve soruları cevaplamak için sohbetler gibi bilgi toplar. Copilot yalnızca kullanıcının izni olan dosyalara erişmek için tasarlanmış olsa da, bu dosyalar yine de özel veya gizli şirket verilerini tutabilir.
EchoLeak ile ilgili ana sorun, LLM kapsamı ihlali olarak adlandırılan yeni bir saldırı türü AIM Labs. Bu, güvenilmeyen bir e -posta gönderilen bir saldırganın talimatları, AI’nın (büyük dil modeli veya LLM) özel şirket verilerine yanlış erişmesini sağladığında olur. Aslında AI’nın hangi bilgilere dokunmasına izin verilmesi gerektiğine dair kendi kurallarını kırmasını sağlar. AIM Labs bunu bir şekilde “ayrıcalıklı verilerle ilişki kurabilen” bir “yetersiz e -posta” olarak tanımlıyor.
Saldırı, kurbanın bir e -posta aldığında başlar, akıllıca yazılmış, AI için değil, onu alan kişi için talimatlar gibi görünüyor. Bu hile, Microsoft’un zararlı AI talimatlarını durduran XPIA sınıflandırıcıları adı verilen güvenlik filtrelerini geçmesine yardımcı olur. E -posta Copilot tarafından okunduktan sonra, şirketin ağından hassas bilgiler göndermek için kandırılabilir.
AIM Labs, verileri çıkarmak için, harici bağlantıları gizleme ve hangi verilerin gönderilebileceğini kontrol etme girişimleri gibi Copilot’un savunmaları etrafında yollar bulmak zorunda olduklarını açıkladı. Bağlantıların ve görüntülerin nasıl işlendiğini ve hatta SharePoint ve Microsoft ekiplerinin URL’leri nasıl yönettiğini kullanarak, saldırganın sunucusuna gizlice veri göndermek için URL’leri nasıl yönettiğini buldular. Örneğin, belirli bir Microsoft Teams URL’sinin herhangi bir kullanıcı eylemi olmadan gizli bilgileri almak için kullanılabileceği bir yol buldular.
Bu neden önemli
Bu keşif, genel tasarım sorunlarının birçok AI sohbet botunda ve ajanında var olduğunu göstermektedir. Daha önceki araştırmalardan farklı olarak, AIM Labs bu saldırının çok hassas verileri çalmak için kullanılabileceğini göstermiştir. Saldırı, kullanıcının Copilot ile bir konuşma yapması bile gerekmez.
AIM Labs ayrıca, kullanıcılar farklı konular hakkında sorduklarında bile, birçok parçaya kırık çok uzun e -postalar göndererek, bir parçanın bir kullanıcının sorgusuyla ilgili olma şansını artırarak, Copilot tarafından daha sık alınan kötü amaçlı e -postalarını daha sık almaları için RAG püskürtmesini tartıştı. Şimdilik, M365 copilot kullanan kuruluşlar bu yeni tehdidin farkında olmalıdır.
Sokradar’daki CISO, Ensar Seker, Labs’ın EchoLeak bulgularını hedeflediği konusunda uyarıyor. Exploit, saldırganların Microsoft 365 Copilot’tan verileri yalnızca bir e -posta ile nasıl birleştirebileceğini ve kullanıcı etkileşimi gerektirmediğini gösterir. Filtreleri atlayarak ve LLM kapsam ihlallerinden yararlanarak, AI ajan tasarımındaki daha derin riskleri vurgular.
Seker, kuruluşları kritik altyapı gibi AI asistanlarına tedavi etmeye, daha katı giriş kontrolleri uygulamaya ve kötüye kullanımı önlemek için harici e -posta alımı gibi özellikleri devre dışı bırakmaya çağırıyor.