Un nuovo tipo di vulnerabilità che colpisce l'intelligenza artificiale ha dimostrato come gli strumenti di produttività aziendale possano trasformarsi in vettori di attacco silenziosi. L'exploit, denominato EchoLeak, rappresenta il primo caso documentato di una falla zero-click negli assistenti AI che consente di sottrarre informazioni riservate senza alcuna interazione da parte della vittima. La scoperta evidenzia come l'integrazione sempre più profonda dell'AI nei flussi di lavoro aziendali stia creando superfici di attacco completamente nuove e preoccupanti.
Microsoft 365 Copilot, l'assistente intelligente integrato nelle applicazioni Office come Word, Excel, Outlook e Teams, utilizza i modelli GPT di OpenAI combinati con Microsoft Graph per aiutare gli utenti a generare contenuti, analizzare dati e rispondere a domande basandosi sui file interni dell'organizzazione, email e conversazioni. Proprio questa capacità di accedere a un vasto contesto di informazioni aziendali si è rivelata il punto debole sfruttato dall'attacco.
La tecnica di attacco inizia con l'invio di una email apparentemente innocua al target, contenente testo non correlato a Copilot e formattato per sembrare un tipico documento aziendale. All'interno del messaggio viene nascosta un'iniezione di prompt progettata per istruire il modello linguistico a estrarre e sottrarre dati interni sensibili. La chiave del successo risiede nella formulazione del prompt malevolo, che appare come un normale messaggio destinato a un essere umano, aggirando così le protezioni del classificatore XPIA di Microsoft contro gli attacchi di cross-prompt injection.
Il meccanismo di sfruttamento si attiva nel momento in cui l'utente pone una domanda aziendale a Copilot. Il motore RAG (Retrieval-Augmented Generation) recupera automaticamente l'email malevola inserendola nel contesto del prompt del modello linguistico, a causa della sua formattazione e apparente rilevanza rispetto alla query. Una volta che l'iniezione malevola raggiunge il modello, questo viene "ingannato" e inizia a estrarre dati interni sensibili, inserendoli in link o immagini appositamente costruiti.
I ricercatori di Aim Labs, che hanno scoperto la vulnerabilità nel gennaio 2025, hanno identificato che alcuni formati di immagini markdown causano la richiesta automatica dell'immagine da parte del browser, inviando l'URL con i dati incorporati al server dell'attaccante. Sebbene la Content Security Policy di Microsoft blocchi la maggior parte dei domini esterni, gli URL di Microsoft Teams e SharePoint risultano attendibili e possono essere abusati per l'esfiltrazione senza problemi.
Microsoft ha assegnato l'identificativo CVE-2025-32711 a questa falla di divulgazione di informazioni, classificandola come critica. L'azienda ha implementato una correzione lato server nel maggio 2025, senza richiedere alcuna azione da parte degli utenti. Il gigante tecnologico ha inoltre precisato che non esistono evidenze di sfruttamento reale della vulnerabilità, quindi nessun cliente è stato effettivamente impattato.
Nonostante sia stata corretta e mai sfruttata malevolmente, EchoLeak riveste un'importanza particolare per aver dimostrato una nuova classe di vulnerabilità denominata "LLM Scope Violation". Questo tipo di falla causa la perdita di dati interni privilegiati da parte di un modello linguistico di grandi dimensioni senza l'intenzione o l'interazione dell'utente. La natura zero-click dell'attacco lo rende particolarmente pericoloso, poiché può essere automatizzato per condurre esfiltrazione silenziosa di dati in ambienti enterprise.
La crescente complessità e l'integrazione sempre più profonda delle applicazioni LLM nei flussi di lavoro aziendali stanno già mettendo sotto pressione le difese tradizionali. Questa tendenza è destinata a creare nuove falle sfruttabili che gli avversari possono utilizzare in modo furtivo per attacchi ad alto impatto. Per le aziende diventa cruciale rafforzare i filtri di iniezione dei prompt, implementare una scoped granulare degli input e applicare filtri di post-elaborazione sull'output degli LLM per bloccare risposte contenenti link esterni o dati strutturati.
I motori RAG possono inoltre essere configurati per escludere comunicazioni esterne, evitando così di recuperare prompt malevoli fin dall'origine. L'episodio EchoLeak rappresenta un campanello d'allarme per il settore, evidenziando come la corsa verso l'adozione dell'AI debba essere bilanciata da un'attenzione crescente verso nuove forme di sicurezza informatica specificamente progettate per questi strumenti emergenti.