חוקרים ישראליים גילו פרצת אבטחה חמורה בכלי ה-AI המתקדם של מיקרוסופט
חברת Aim Security זיהתה מתקפה מתוחכמת שמאפשרת להוציא מידע רגיש מתוך המערכת, ללא סימנים מקדימים וללא צורך בפעולה אקטיבית של המשתמש
Microsoft 365 Copilot. תמונה: מתוך אתר מיקרוסופט
חברת הסייבר הישראלית Aim Security חשפה פרצת אבטחה חמורה ב-Microsoft 365 Copilot, אשר מאפשרת לתוקפים לגנוב מידע רגיש מתוך המערכת ללא כל אינטראקציה עם המשתמש (מתקפת Zero-Click). החולשה, שקיבלה את השם "EchoLeak", הופיעה בעקבות עיצוב של סוכני AI מבוססי GPT כדוגמת Microsoft 365 Copilot, שמטרתם לשפר את ביצועי הארגונים בפלטפורמה ולסייע להם לנהל מידע רגיש.
Aim Security, הפועלת בתחום סייבר ה-AI, מתמקדת במתן פתרונות אבטחה עבור כלי GenAI, בין אם מבוססי LLM פנימיים או שירותי צד שלישי, מתוך מטרה לאפשר לארגונים לאמץ פתרונות AI מתקדמים בלי חשש.
בפרצה הנוכחית, מי שאיתרו את חולשת האבטחה הם קבוצת Aim Labs, צוות חוקרי חולשות בינה מלאכותית שהקימה Aim ומורכב מחוקרים בעלי רקע מיחידת סייבר בצה"ל ומובילי מחקר ב-Google. הצוות זיהה כי "EchoLeak" מעניקה לתוקפים אפשרות להוציא מידע רגיש מתוך המערכת, ללא צורך בפעולה מצד המשתמש וללא סימנים מקדימים.
פועל ברקע וללא ידיעת המשתמש
בשלב הראשון, משתמש בארגון מקבל מהתוקף אימייל שמתחזה כלגיטימי אך מכיל הוראות מוסתרות המיועדות למודל שפה כמו Copilot. ההוראות מנוסחות כך שייראו כאילו הן מיועדות למשתמש, מה שמאפשר להן לעקוף את מנגנוני ההגנה נגד prompt injection.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בשלב הבא, כש-Copilot מבצע פעולות בתוך יישומי Office, המידע הנמצא בסביבת ה-SharePoint הארגונית מתחיל להיאסף. התקיפה עוקפת את מנגנוני ההגנה המובנים של Copilot, שאמורים להבטיח שרק המשתמש עצמו יוכל לגשת לקבצים שלו ובכך עלולה לחשוף נתונים קנייניים, סודיים או כאלה שחלים עליהם כללי רגולציה.
הפירצה בנויה בצורה מתוחכמת וקשה לזיהוי, מאחר ש-Copilot סורק את המיילים ברקע, הוא קורא את ההודעה ומבצע את ההוראות כולל חיפוש בקבצים פנימיים ושליפת נתונים רגישים. בסיום, קופיילוט גם מסתיר את מקור ההוראות כך שהמשתמש אינו יכול להבין מה התרחש.
לאחר זיהוי החולשה בחודש ינואר, ב-Aim הצליחו להוכיח את מסוכנותה והובילו לתגובה מערכתית רחבה מצד מיקרוסופט. Aim פעלה בשיתוף עם מיקרוסופט על מנת לדאוג לאבטחת הלקוחות של Copilot, כאשר זו הפעם הראשונה שבה Microsoft מכריזה על CVE של שירות AI ברמת סיכון קריטית. חשוב לציין כי במיקרוסופט הצליחו לסגור את הפרצה לאחרונה, וכי על פי דיווחים שונים היא לא נוצלה בפועל נגד ארגונים.
"הפרצה 'EchoLeak' ממחישה את האתגרים הרבים בהגנה על אפליקציות AI, ומראה כיצד ניתן לבצע התקפות חמורות מבלי שהמשתמש ינקוט פעולה כלשהי. היום, כשארגונים מובילים מפתחים אפליקציות AI בעצמם, הם מבינים שאם מיקרוסופט חשופה סביר להניח שגם אצלם קיימים אתגרים דומים", מסר מתן גץ, מייסד שותף ומנכ"ל Aim, "אנחנו גאים לשתף פעולה עם ארגונים מהשורה הראשונה בעולם ולעזור לאבטח את התחום הבא".
