Forestil dig et hackerangreb så diskret, at det hverken kræver klik, downloads eller advarsel.
En e-mail i din indbakke er nok til at bryde sikkerheden.
En så listig form for angreb er nu virkelighed. Det er blevet døbt EchoLeak og er en kritisk sårbarhed i Microsoft 365 Copilot, der lader hackere stjæle følsomme virksomhedsdata uden en eneste handling fra offeret.
Det blev ifølge vores amerikanske søstermedie Computerworld.com opdaget af sikkerhedsfirmaet Aim Security, og er det første dokumenterede zero-click-angreb på en AI-agent.
Én udformet e-mail er alt, hvad der skal til. Copilot behandler den uden at advare, følger skjulte prompts, gennemgår interne filer og sender fortrolige data ud, mens den glider forbi Microsofts sikkerhedsforsvar.
Det skriver Aim Security i et blogindlæg.
"Det bruger AI's kernestyrke, kontekstuel forståelse, imod sig selv," siger Abhishek Anant Garg, analytiker i QKS Group, til Computerworld.com.
"Virksomhedssikkerhed er bygget til ondsindet kode. Ikke til sprog, der ser harmløst ud, men fungerer som et våben."
Denne type sårbarhed udgør en betydelig trussel, advarer Nader Henein, viceanalytiker i analysevirksomheden Gartner.
"I betragtning af kompleksiteten af AI-assistenter og RAG-baserede tjenester er det bestemt ikke den sidste, vi ser," siger Nader Henein til Computerworld.com.
Udnytter tillid til domæner
EchoLeak udnytter Copilots evne til at håndtere både betroede interne data (som e-mails, Teams-chats og OneDrive-filer) og ubetroede eksterne input, såsom indgående e-mails.
Angrebet starter med en ondsindet e-mail, der indeholder en specifik markdown-syntaks.
Når Copilot automatisk scanner e-mailen i baggrunden for at forberede brugerforespørgsler, udløser den en browseranmodning, der sender følsomme data, såsom chathistorik, brugeroplysninger eller interne dokumenter, til en angribers server.
Angrebskæden er baseret på tre sårbarheder.
En af dem er åben omdirigering i Microsofts Content Security Policy, som har tillid til domæner som Teams og SharePoint.
Det giver angribere mulighed for at skjule ondsindede anmodninger som legitime og omgå Microsofts forsvar mod Cross-Prompt Injection Attacks (XPIA).
EchoLeak afslører den falske sikkerhed ved gradvise AI-udrulninger, advarer Abhishek Anant Garg fra QKS Group.
Aim Security klassificerer denne fejl som en "LLM Scope Violation", hvor upålidelige prompts manipulerer AI til at få adgang til data uden for dens tilsigtede omfang.
"Angribere kan referere til indhold fra andre dele af LLM-konteksten for at udtrække følsomme oplysninger, hvilket forvandler AI'ens evne til at syntetisere til en dataudfiltreringsvektor," sagde Abhishek Anant Garg ifølge Computerworld.com.