Опасный EchoLeak: что нужно знать о нулевой уязвимости в Microsoft 365 Copilot

Пользователи Microsoft 365 Copilot могли и не подозревать, что в их любимом помощнике скрывается настоящая «бомба замедленного действия». Исследователи по безопасности из Aim Labs обнаружили критическую уязвимость под названием EchoLeak, которая могла позволить злоумышленникам получить доступ к вашим данным — и без вашего ведома.

EchoLeak: в чём суть угрозы?

EchoLeak — это не просто баг, это первая в истории атака с нулевым кликом на ИИ-ассистента. То есть пользователь даже не должен был кликать по вредоносной ссылке или запускать подозрительный файл. Всё происходило автоматически. Именно это делает уязвимость особенно опасной — никакого взаимодействия, только факт того, что вы используете Copilot.

Кто и когда это обнаружил?

Aim Labs сообщили о находке Microsoft ещё в январе 2025 года. Специалисты по кибербезопасности провели глубокий анализ поведения Copilot и выяснили, что в определённых сценариях возможно получить несанкционированный доступ к данным. Microsoft оперативно присвоила проблеме идентификатор CVE-2025-32711 и признала её критической.

Как отреагировала Microsoft?

Компания не стала замалчивать инцидент — пусть и без лишнего шума. В мае 2025 года уязвимость была устранена на стороне сервера. Пользователям не нужно было ничего обновлять вручную, что, конечно, плюс. Тем не менее, сам факт того, что такая брешь существовала, стал тревожным сигналом для всей индустрии.

Пока эксперты устраняют уязвимости в системах ИИ, вы можете расслабиться и отвлечься на любимые онлайн-игры в Мартин Казино.

Чем это грозило пользователям?

Хотя Microsoft и подчёркивает, что не было подтверждённых случаев эксплуатации EchoLeak в реальных атаках, сам потенциал угрозы пугает. Это был бы идеальный инструмент для кибершпионов или недобросовестных конкурентов. Всё, что им нужно было — это знать, как воспользоваться уязвимостью. А вы бы об этом даже не узнали.

Почему это первая такая угроза?

До EchoLeak ещё не фиксировалось атак с нулевым кликом на агентов ИИ, особенно в такой масштабной и коммерчески значимой системе, как Microsoft 365 Copilot. Это прецедент, который, вероятно, заставит и другие компании задуматься о защите своих интеллектуальных ассистентов.

Что делать, чтобы обезопасить себя?

Вот несколько простых, но важных советов:

• Следите за новостями обновлений — если ваш ИИ-инструмент получает патч, не игнорируйте его.
• Используйте двухфакторную аутентификацию — даже если кто-то получит доступ к аккаунту, защита не даст продвинуться дальше.
• Не давайте доступ к чувствительным данным по умолчанию — минимизируйте, с чем работает ваш ИИ-помощник.

Эхо, которое нельзя игнорировать

EchoLeak стал настоящим звоночком. Чем умнее становятся наши цифровые помощники, тем выше становится ответственность за их безопасность. Хорошо, что эту брешь удалось закрыть до того, как она стала проблемой мирового масштаба. Но расслабляться явно рано.