Исследователи из компании по кибербезопасности Aim Security 12 июня 2025 года раскрыли информацию о серьезной уязвимости в популярном ИИ-ассистенте Microsoft 365 Copilot. Уязвимость, получившая название "EchoLeak" и официальный идентификатор CVE-2025-32711, потенциально позволяла злоумышленникам получать несанкционированный доступ к конфиденциальной информации других пользователей. Как сообщают ведущие издания в сфере информационной безопасности, такие как SecurityWeek и SC World, суть уязвимости заключалась в возможности межклиентского раскрытия данных (cross-tenant information disclosure). Это означает, что злоумышленник, имеющий легальный доступ к Copilot в своей организации, мог с помощью специально созданных запросов (промтов) "обмануть" ИИ-ассистента и заставить его выдать фрагменты данных, которые тот обрабатывал для других пользователей, в том числе из совершенно других компаний, использующих ту же облачную инфраструктуру. Это создавало серьезный риск утечки коммерческой тайны, персональных данных сотрудников и другой чувствительной корпоративной информации, к которой Copilot имеет доступ. Компания Aim Security своевременно уведомила Microsoft об обнаруженной уязвимости в рамках программы ответственного раскрытия (responsible disclosure). Microsoft оперативно отреагировала на угрозу, разработала и уже выпустила необходимое исправление (патч), которое устраняет данную проблему для всех пользователей. Несмотря на то, что уязвимость была исправлена до того, как стало известно о случаях ее реальной эксплуатации злоумышленниками, этот инцидент ярко подчеркивает новые, сложные вызовы в области кибербезопасности, которые возникают при глубокой интеграции мощных ИИ-моделей в корпоративные экосистемы.
Раскрыта уязвимость "EchoLeak" в Microsoft 365 Copilot
