حمله جدیدی به نام EchoLeak نخستین آسیب‌پذیری هوش مصنوعی بدون کلیک است که به مهاجمان امکان می‌دهد بدون تعامل با کاربر، داده‌های حساس را از Microsoft 365 Copilot استخراج کنند.

محققان Aim Labs این حمله را در ژانویه ۲۰۲۵ کشف و به مایکروسافت گزارش دادند. این شرکت شناسه CVE-2025-32711 را به این آسیب‌پذیری افشای اطلاعات اختصاص داد و آن را بحرانی ارزیابی کرد. مایکروسافت این مشکل را در ماه می از سمت سرور برطرف کرد، بنابراین نیازی به اقدام کاربران نیست. همچنین مایکروسافت اعلام کرد هیچ شواهدی از سوءاستفاده واقعی وجود ندارد و هیچ مشتری تحت تأثیر قرار نگرفته است.

Microsoft 365 Copilot دستیار هوش مصنوعی است که در برنامه‌های آفیس مانند Word، Excel، Outlook و Teams تعبیه شده است. این ابزار از مدل‌های GPT شرکت OpenAI و Microsoft Graph استفاده می‌کند تا به کاربران در تولید محتوا، تحلیل داده‌ها و پاسخ به سؤالات بر اساس فایل‌ها، ایمیل‌ها و چت‌های داخلی سازمان کمک کند.

اگرچه EchoLeak رفع شده و هرگز به صورت مخرب مورد سوءاستفاده قرار نگرفته، اما اهمیت آن در نمایش دسته جدیدی از آسیب‌پذیری‌ها به نام “نقض محدوده LLM” است که باعث می‌شود مدل زبان بزرگ (LLM) بدون قصد یا تعامل کاربر، داده‌های داخلی محرمانه را فاش کند.

از آنجا که این حمله نیازی به تعامل با قربانی ندارد، می‌تواند به صورت خودکار برای استخراج مخفیانه داده‌ها در محیط‌های سازمانی انجام شود. این موضوع نشان می‌دهد چقدر این نقص‌ها می‌توانند در سیستم‌های مجهز به هوش مصنوعی خطرناک باشند.

نحوه عملکرد EchoLeak

حمله با ارسال ایمیل مخرب به هدف آغاز می‌شود که حاوی متنی غیرمرتبط با Copilot است و به شکل یک سند تجاری معمولی قالب‌بندی شده است. این ایمیل حاوی تزریق دستور مخفی است که برای دستور دادن به LLM جهت استخراج و ارسال داده‌های حساس داخلی طراحی شده است.

از آنجا که این دستور مانند یک پیام عادی به انسان نوشته شده، از حفاظت‌های طبقه‌بندی‌کننده XPIA (حمله تزریق دستور متقابل) مایکروسافت عبور می‌کند.

بعداً، وقتی کاربر سؤال تجاری مرتبطی از Copilot می‌پرسد، موتور RAG (تولید تقویت‌شده با بازیابی) به دلیل قالب‌بندی و ارتباط ظاهری ایمیل، آن را در زمینه دستور LLM بازیابی می‌کند. تزریق مخرب که اکنون به LLM رسیده، آن را فریب می‌دهد تا داده‌های حساس داخلی را استخراج کرده و در یک لینک یا تصویر ساخته‌شده قرار دهد.

Aim Labs دریافت که برخی قالب‌های تصویر markdown باعث می‌شوند مرورگر تصویر را درخواست کند، که URL را به صورت خودکار، شامل داده‌های تعبیه‌شده، به سرور مهاجم ارسال می‌کند.

CSP مایکروسافت اکثر دامنه‌های خارجی را مسدود می‌کند، اما URL‌های Microsoft Teams و SharePoint قابل اعتماد هستند، بنابراین می‌توان از آنها برای استخراج داده‌ها بدون مشکل سوءاستفاده کرد.

اگرچه EchoLeak رفع شده است، اما پیچیدگی فزاینده و ادغام عمیق‌تر برنامه‌های LLM در فرآیندهای کسب‌وکار، دفاع‌های سنتی را تحت فشار قرار داده است. همین روند قطعاً نقص‌های جدید قابل سلاح‌سازی ایجاد خواهد کرد که مهاجمان می‌توانند به صورت مخفیانه برای حملات با تأثیر بالا از آنها سوءاستفاده کنند.

برای سازمان‌ها مهم است که فیلترهای تزریق دستور خود را تقویت کنند، محدودسازی دقیق ورودی را پیاده‌سازی کنند و فیلترهای پس‌پردازش را روی خروجی LLM اعمال کنند تا پاسخ‌هایی که حاوی لینک‌های خارجی یا داده‌های ساختاریافته هستند را مسدود کنند. علاوه بر این، موتورهای RAG را می‌توان طوری پیکربندی کرد که ارتباطات خارجی را حذف کنند تا از بازیابی دستورات مخرب در وهله اول جلوگیری شود.