Microsoft podnosi bezpieczeństwo Copilot. Pierwszy taki atak zero-click na asystenta AI

Microsoft właśnie załatał krytyczną lukę typu zero-click w swoim sztandarowym asystencie AI – Microsoft 365 Copilot. Luka, nazwana EchoLeak, umożliwiała zdalnym atakującym przejęcie poufnych danych użytkowników bez jakiejkolwiek interakcji z ich strony. To pierwszy znany atak tego typu na asystenta opartego na dużych modelach językowych (LLM).

Luka została odkryta przez badaczy z izraelskiego startupu Aim Security na początku roku. Umożliwiała ona atakującym wysyłanie zwykłych e-maili – bez załączników, bez linków phishingowych – które wywoływały niepożądane działania wewnątrz Copilota, zintegrowanego z aplikacjami pakietu Microsoft 365, takimi jak Word, Excel, Outlook, PowerPoint i Teams.

Mechanizm ataku wykorzystywał nową klasę wektorów zagrożeń, określaną jako LLM Scope Violation. W skrócie – hakerzy potrafili zmanipulować model językowy tak, aby sam sabotował własne mechanizmy ochrony, sięgając po poufne informacje użytkownika i przekazując je dalej.

Sztuczna inteligencja jako wektor ataku

Zdaniem ekspertów, EchoLeak to początek nowej ery zagrożeń cybernetycznych. – To nie jest klasyczny błąd oprogramowania. To błąd w sposobie, w jaki agent AI „rozumie” swoje granice dostępu – mówi Adir Gruss, współzałożyciel i CTO Aim Security.

EchoLeak ukazał bowiem słabości projektowe nie tylko w Microsoft Copilot, ale również potencjalne zagrożenia dla całej generacji agentów AI. W szczególności wskazano, że także inne zaawansowane platformy – takie jak Model Context Protocol firmy Anthropic czy Agentforce od Salesforce – mogą być podatne na analogiczne manipulacje.

Microsoft zareagował, ale nie bez opóźnień

Aim Security poinformowało Microsoft o luce już w styczniu. Mimo tego firma z Redmond potrzebowała niemal pięciu miesięcy, by całkowicie uporać się z problemem. Według doniesień wewnętrznych, pierwsza wersja poprawki była gotowa już w kwietniu, lecz inżynierowie odkryli nowe, powiązane zagrożenia, które wymusiły opóźnienie wdrożenia ostatecznego rozwiązania.

W międzyczasie Microsoft próbował zablokować EchoLeak na poziomie aplikacji, ale – jak przyznał rzecznik firmy – nieprzewidywalność zachowania AI i rozległa powierzchnia ataku utrudniały skuteczne łatanie luki. W oficjalnym komunikacie Microsoft podziękował Aim Security za „odpowiedzialne ujawnienie podatności” i potwierdził, że wszystkie podatne produkty zostały zaktualizowane automatycznie – bez potrzeby jakiejkolwiek interwencji użytkownika.

Skutki i reakcje: Branża w stanie gotowości

Choć Microsoft informuje, że nie odnotowano żadnych przypadków aktywnego wykorzystania EchoLeak, to incydent wywołał ogromny niepokój wśród dużych firm i korporacji. Według źródeł zbliżonych do Aim Security, wiele przedsiębiorstw z listy Fortune 500 „poważnie obawia się” o bezpieczeństwo swoich agentów AI i aktualnie prowadzi audyty wewnętrzne oraz wdraża dodatkowe środki ostrożności.