Una grave vulnerabilità di sicurezza è stata recentemente individuata in Microsoft 365 Copilot, l’assistente basato su intelligenza artificiale integrato nelle applicazioni di Office come Word, Excel, Outlook e Teams. La falla, denominata EchoLeak, rappresenta la prima vulnerabilità AI zero-click nota che consente agli attaccanti di esfiltrare dati sensibili dal contesto utente di Copilot senza alcuna interazione da parte della vittima. Scoperta dai ricercatori di Aim Labs e segnalata a Microsoft nel gennaio 2025, la vulnerabilità è stata corretta lato server nel maggio 2025 e non richiede azioni da parte degli utenti. Secondo Microsoft, non ci sono prove di sfruttamento reale e nessun cliente è stato coinvolto.

Funzionamento di EchoLeak e LLM Scope Violation

Il funzionamento di EchoLeak evidenzia un nuovo tipo di minaccia, definita LLM Scope Violation. In sostanza, questa categoria di vulnerabilità porta un modello linguistico di grandi dimensioni (LLM) a rivelare dati interni privilegiati senza che l’utente lo desideri o lo sappia. L’attacco sfrutta un’email malevola, apparentemente innocua e simile a un tipico documento aziendale, che contiene una prompt injection nascosta. Questa è progettata per indurre il modello AI ad estrarre ed esfiltrare dati interni sensibili della vittima.

Quando l’utente, in seguito, pone a Copilot una domanda correlata al lavoro, il motore di Recupero-Aumentato (RAG) di Copilot recupera il contenuto dell’email nel contesto della richiesta. A questo punto la prompt injection raggiunge il modello, che viene “ingannato” e inserisce i dati interni in un collegamento o in un’immagine markdown. Se il formato markdown utilizzato richiama il browser a caricare l’immagine, il dato sensibile viene inviato in automatico al server dell’attaccante tramite la richiesta HTTP.

Limitazioni delle protezioni e rischi residui

Nonostante Microsoft abbia implementato protezioni come CSP per bloccare domini esterni, i link a Teams e SharePoint sono considerati affidabili. Quindi, questi possono essere sfruttati per trasmettere dati senza restrizioni. EchoLeak, anche se risolto, dimostra quanto le difese tradizionali siano già sotto pressione a causa della crescente complessità e integrazione delle applicazioni AI nei processi aziendali.

Mitigazione e prevenzione

Per mitigare rischi simili, le aziende devono rafforzare i filtri contro prompt injection, applicare un controllo granulare sugli input e adottare filtri post-processing sui risultati generati dall’AI, bloccando risposte che contengano link esterni o dati strutturati sospetti. Inoltre, i motori RAG dovrebbero essere configurati per escludere comunicazioni esterne e prevenire il recupero di prompt malevoli. La vulnerabilità EchoLeak rappresenta un campanello d’allarme sull’evoluzione delle minacce AI e sulla necessità di un approccio di sicurezza proattivo.