Новая атака превратила Microsoft 365 Copilot в инструмент для кражи данных в один клик

Исследователи кибербезопасности обнаружили опасный класс атак, при которых интегрированный ИИ-ассистент Microsoft 365 Copilot может быть использован злоумышленниками как инструмент для кражи корпоративных данных буквально в один клик. Проблема связана не с классической уязвимостью кода, а с особенностями работы больших языковых моделей и их интеграцией в рабочие документы и почтовые системы.

В начале месяца компания Microsoft отреагировала на SearchLeak и присвоила ей идентификатор CVE-2026-42824 с наивысшей степенью опасности — критической.

Атака относится к категории prompt injection (инъекция инструкций), когда вредоносный контент «прячется» внутри документа, письма или веб-страницы и воспринимается ИИ как легитимная команда. В результате Copilot может выполнить действия, которые пользователь не планировал, включая извлечение и пересылку конфиденциальной информации.

Как работает атака

Сценарий атаки строится вокруг того, что Copilot имеет доступ к данным пользователя: письмам, файлам, календарю и внутренним документам.
Злоумышленник внедряет специально сформированный текст, который выглядит безобидно для человека, но содержит скрытые инструкции для ИИ.

Типичный процесс атаки выглядит следующим образом:

• Пользователь получает письмо или документ с вредоносным содержимым
• Внутри текста скрыты инструкции, интерпретируемые ИИ как команды
• Copilot анализирует контекст и «выполняет» эти инструкции
• ИИ получает доступ к данным пользователя в рамках разрешений
• Информация отправляется на внешний сервер или злоумышленнику

Главная опасность заключается в том, что пользователь может вообще не взаимодействовать напрямую с вредоносным объектом — достаточно того, что Copilot обработает документ или письмо в фоне.

Почему это работает

Причина уязвимости заключается в архитектуре современных ИИ-ассистентов. Такие системы одновременно:

• обрабатывают пользовательский контекст (почта, файлы, документы)
• интерпретируют естественный язык как инструкции
• имеют доступ к корпоративным данным через API

Комбинация этих факторов создаёт риск «перепутывания» данных и команд. Для модели вредоносная инструкция может выглядеть так же, как обычный запрос пользователя, особенно если она встроена в доверенный документ.

Полная цепочка атак SearchLeak
Источник: Varonis

Чем опасен один клик

Термин «one-click attack» в данном контексте означает, что пользователю достаточно одного действия — открытия письма или документа —
чтобы цепочка эксплойта запустилась автоматически.

Последствия могут включать:

• утечку корпоративной переписки
• экспорт файлов из облачного хранилища
• доступ к внутренним финансовым документам
• компрометацию API-токенов и интеграций

Особенно опасно это для компаний, активно использующих ИИ в документообороте и автоматизации бизнес-процессов.

Роль Copilot и облачной экосистемы

Microsoft 365 и встроенный Copilot тесно интегрированы с сервисами Exchange, OneDrive, Teams и SharePoint. Это делает систему удобной, но одновременно увеличивает поверхность атаки.

Если злоумышленник получает возможность влиять на входные данные (например, через письмо), он потенциально получает косвенный доступ ко всей экосистеме пользователя.

Примеры техник атаки

Исследователи выделяют несколько типовых техник, которые используются в подобных сценариях:

• Hidden prompt injection — скрытые инструкции в тексте документа
• Data exfiltration prompts — команды на передачу данных во внешний источник
• Context hijacking — подмена роли ассистента в рамках диалога
• Multi-step chaining — цепочки инструкций, обходящие фильтры

Особенно опасны многоступенчатые атаки, когда одна инструкция подготавливает контекст, а следующая уже выполняет кражу данных.

Как защищаются системы

Разработчики ИИ-платформ внедряют несколько уровней защиты:

• фильтрация подозрительных инструкций в документах
• изоляция пользовательского и системного контекста
• ограничение доступа Copilot к чувствительным данным
• логирование и аномалия-детекция запросов

Однако полностью решить проблему сложно, поскольку атаки используют саму природу языковых моделей, а не традиционные баги в коде.

Что могут сделать компании

Организациям рекомендуется внедрять дополнительные меры защиты:

• ограничение доступа ИИ к критическим документам
• разделение ролей и минимизация прав доступа
• обучение сотрудников кибергигиене
• аудит интеграций Copilot и сторонних плагинов

Также важно регулярно тестировать инфраструктуру на prompt injection-атаки в рамках red teaming.

Выводы

Инцидент показывает, что интеграция ИИ в корпоративные системы создаёт новый класс угроз. Microsoft 365 Copilot становится не только инструментом повышения продуктивности, но и потенциальной точкой входа для атакующих.

Ключевая проблема заключается в том, что ИИ не всегда способен отличить «данные» от «инструкций», особенно в сложных контекстах.

По мере расширения использования AI-ассистентов компании должны пересматривать модели безопасности и учитывать новые типы атак.

Часто задаваемые вопросы

Что такое prompt injection?

Это метод атаки, при котором злоумышленник внедряет скрытые инструкции в текст, чтобы заставить ИИ выполнить нежелательные действия.

Может ли Copilot сам по себе украсть данные?

Нет, он не действует автономно. Однако при наличии вредоносных инструкций в контексте он может выполнить действия, которые приведут к утечке данных.

Насколько опасна эта уязвимость для бизнеса?

Она особенно опасна для компаний, активно использующих облачные сервисы Microsoft, поскольку потенциальная утечка может затронуть сразу несколько систем.

Можно ли полностью защититься?

Полной защиты пока не существует, но риск можно существенно снизить за счёт политики доступа, фильтрации контента и мониторинга активности ИИ.

Это проблема только Microsoft Copilot?

Нет, подобные атаки относятся к классу LLM-систем и могут затрагивать любые ИИ-ассистенты, интегрированные в рабочие данные.

Редактор: AndreyEx