Hackeři dokážou proniknout do zařízení (počítačů) i bez přímého kontaktu s nimi. Oběť nemusí na nic kliknout (proto „zero-click“ útok), nic stáhnout. Bez její aktivity se to pochopitelně neobejde, ale mechanismus útoku je nový.

Bezpečnostní experti označili zranitelnost jako „EchoLeak“. Pokud by byl útočník úspěšný, mohl získat citlivé údaje z AI asistenta Microsoft Copilot.

Vše odstartuje „nevinný“ e-mail

Útok začíná podobně jako mnohé „klasické“ útoky. Útočník odešle na první pohled neškodný e-mail uživateli či skupině uživatelů, které se chystá napadnout. Zpráva je formátovaná tak, aby vypadala jako typický obchodní e-mail či pozvánka, takže obchází ochranu společnosti Microsoft. Ale mail obsahuje neviditelné instrukce pro AI.

Co se děje při útoku

Útok začíná, když uživatel začne komunikovat s Copilotem – například se zeptá na obsah mailboxu a AI asistent začne prohledávat zprávy. Když přijde na řadu zero-click/EchoLeak e-mail, Copilot pracuje i s jeho neviditelným obsahem.

Systém posune data ke zpracování velkému jazykovému modelu na serveru a právě tehdy přijde správný čas pro škodlivé příkazy zahrnuté ve zprávě. Získané informace se odesílají na server útočníka. Celý proces proběhne na pozadí, automaticky, uživatel se o ničem nedozví.

„Ve zkratce je to stejné, jako sdílet svůj Copilot účet někomu cizímu,“ vyjádřil se k tématu pro redakci Živé.sk etický hacker Martin Hanic z firmy Citadelo.

Zákeřností útoku je i fakt, že využívá důvěryhodné domény, jako je Microsoft Teams, k obcházení politik zabezpečení obsahu a odesílání údajů na server ovládaný útočníkem.

MS dostal echo a problém opravil

Na možnost takového útoku upozornili výzkumníci ze společnosti Aim Labs nejprve společnost Microsoft. Provozovatel Copilota situaci přezkoumal a tvrdí, že nemá žádné důkazy o tom, že by byl mechanismus zneužit k útokům.

Microsoft problém opravil, ale i tak se potvrzuje, že nové nástroje přináší nová bezpečnostní rizika.

Co doporučuje etický hacker

Martin Hanic přináší i několik doporučení, která by měla riziko zneužití takovými zranitelnostmi snížit. Především je třeba zvážit (a platí to zejména pro firmy), jaká data zpřístupnit řešením jako Copilot a co s nimi budou moci provádět.

Výzkumníci z Aim Labs přízvukují, že útok nebyl typickou bezpečnostní chybou, ale využil „konstrukční chybu“ AI agentů založených na velkých jazykových modelech.

I proto volají po přebudování fungování AI agentů, aby bylo zajištěno, že budou jasně odděleny důvěryhodné pokyny od nedůvěryhodných dat. Připomínají, že podobná situace zde byla již v 90. letech minulého století, kdy softwarové chyby začaly útočníci zneužívat k ovládnutí tehdy expandujících notebooků či mobilních telefonů.

Historie se podle nich opakuje – tentokrát však s AI.