Microsoft 365 Copilot est un outil d’IA intégré aux applications de Workplace de Microsoft Office, notamment Word, Excel, Outlook, PowerPoint et les équipes, et les chercheurs ont constaté qu’il avait d’importants défauts de sécurité qui ont démontré un risque plus large de piratage d’agents de l’IA.
Démarrage de la sécurité de l’IA Un défaut révélé aujourd’hui par AIM Security et précédemment partagé exclusivement avec Fortune est la première attaque « zéro clique » connue contre les agents d’IA, une IA qui agit de manière autonome pour atteindre une cible spécifique. La nature de la vulnérabilité signifie que les utilisateurs n’ont pas besoin de cliquer sur quoi que ce soit ou d’interagir avec le message afin que les utilisateurs puissent accéder aux informations sensibles à partir d’applications ou de sources de données connectées à l’agent d’IA.
Dans le cas de Microsoft 365 Copilot, la vulnérabilité permet aux pirates de déclencher une attaque simplement en envoyant un e-mail aux utilisateurs sans avoir besoin de phishing ou de logiciels malveillants. Au lieu de cela, l’exploit utilise un ensemble de techniques intelligentes pour forcer l’assistant AI à s’opposer à lui-même.
Microsoft 365 Copilot fonctionne sur les instructions de l’utilisateur dans l’application Office, créant des documents et suggestions d’accès, et plus encore. Si un pirate est infiltré, il peut être utilisé pour cibler des informations intérieures sensibles telles que les e-mails, les feuilles de calcul et le chat. L’attaque contourne la protection intégrée de Copilot, conçue pour permettre uniquement aux utilisateurs à exposer leurs propres fichiers, leurs propres données, confidentielles ou liées à la conformité à leur potentiel.
Les chercheurs d’AIM Security ont appelé le défaut « Echoleak ». Microsoft a déclaré à Fortune qu’il avait déjà résolu le problème avec Microsoft 365 Copilot et que ses clients n’étaient pas affectés.
« Nous visons à identifier ce problème et à le signaler de manière responsable, et à pouvoir y remédier avant qu’il ne soit affecté », a déclaré un porte-parole de Microsoft dans un communiqué. « Nous avons déjà mis à jour nos produits pour atténuer ce problème, et aucune action client n’est requise, et nous mettons en œuvre des mesures détaillées supplémentaires pour renforcer davantage notre attitude de sécurité. »
Les chercheurs de l’AIM ont déclaré qu’Echoleak n’est pas seulement un bogue de sécurité de l’usine. Il a des implications plus larges autres que Copilot, car elle découle d’un défaut de conception fondamental dans des agents d’IA basés sur LLM similaires aux vulnérabilités logicielles des années 1990 qui ont permis aux attaquants de contrôler les appareils tels que les ordinateurs portables et les téléphones mobiles.
Adir Gruss, co-fondateur et CTO de la sécurité AIM, a déclaré à Fortune qu’il lui avait fallu environ trois mois pour l’ingénieur à la recherche de Microsoft 365 Copilot, l’un des assistants de l’IA générateur les plus utilisés. Ils voulaient déterminer si ces vulnérabilités logicielles précédentes se cachaient sous le capot et développent des garde-corps à atténuer.
« Nous avons trouvé une chaîne de vulnérabilités dans les agents d’IA, ce qui équivaut à » zéro clics « sur les téléphones portables », a-t-il déclaré. Tout d’abord, l’attaquant envoie un e-mail demandant une personne innocente avec des instructions cachées pour le flic, le flic ou le lot de flic. Ensuite, Copilot analyse les e-mails des utilisateurs en arrière-plan, donc Copilot lit le message et suit l’invite. Ajustez les fichiers internes pour extraire les données sensibles. Enfin, Copilot cache la source de l’instruction, afin que les utilisateurs ne puissent pas suivre ce qui s’est passé.
Après avoir découvert le défaut en janvier, Gruss a expliqué que AIM avait contacté le Microsoft Security Response Center. Il étudie tous les rapports de vulnérabilités de sécurité affectant les produits et services Microsoft. « Ils veulent assurer la sécurité de leurs clients », a-t-il déclaré. « Ils nous ont dit que c’était très révolutionnaire pour eux. »
Cependant, il a fallu cinq mois à Microsoft pour résoudre ce problème. Gruss a dit qu’il était « de ce côté (très) haut ». L’une des raisons qu’il a expliquées était que les vulnérabilités étaient si nouvelles qu’il a fallu du temps pour s’impliquer dans le processus et les éduquer sur les vulnérabilités et l’atténuation.
Microsoft a tenté pour la première fois de le résoudre en avril, a déclaré Gruss, mais en mai, la société a découvert des problèmes de sécurité supplémentaires concernant la vulnérabilité. AIM a décidé d’attendre que Microsoft corrige complètement la faille avant de publier l’enquête, en espérant que d’autres fournisseurs qui pourraient avoir des vulnérabilités similaires « se réveillera ».
Gruss a déclaré que la plus grande préoccupation est qu’Echoleak puisse être appliqué à partir du MCP humain (Model Context Protocol) qui relie les assistants d’IA à d’autres applications à d’autres types d’agents qui se connectent à des plateformes telles que l’agentforce de Salesforce.
« Je vais être terrifié », a déclaré Gruss en dirigeant une entreprise qui met désormais en œuvre des agents de l’IA. « Il s’agit du type de problème fondamental qui a causé 20, 30 ans de souffrance et de vulnérabilité en raison des défauts de conception qui sont entrés dans ces systèmes, et cela se reproduit avec l’IA. »
L’organisation comprend que, a-t-il expliqué, ce qui peut être la raison pour laquelle la plupart des gens ne sont pas encore largement adoptés. « Ils expérimentent et ils ont très peur », a-t-il déclaré. « Ils devraient avoir peur, mais en revanche, en tant qu’industrie, nous devons avoir les bons systèmes et les garde-corps. »
Microsoft a tenté d’empêcher un tel problème connu sous le nom de vulnérabilité de violation de la portée LLM. Il s’agit d’une classe de défauts de sécurité qui sont incités à accéder ou à exposer des données au-delà de ce que le modèle est approuvé ou destiné à traiter, violant essentiellement son autorité de « portée ». « Ils ont essayé de le bloquer avec plusieurs passes à travers la chaîne, mais ils n’ont pas réussi à le faire parce que l’IA est si imprévisible et la surface d’attaque est si grande », a déclaré Gruss.
Alors que AIM offre une atténuation provisoire aux clients employant d’autres agents de l’IA qui pourraient être affectés par la vulnérabilité ecoleek, Gruss a déclaré que les correctifs à long terme nécessiteraient une refonte de base de la construction des agents de l’IA. « Le fait que les agents utilisent des données fiables et peu fiables dans le même » processus de pensée « est un défaut de conception fondamental qui les rend vulnérables », a-t-il expliqué. « Imaginez quelqu’un qui fait tout ce qu’il lit
Une telle refonte pourrait être dans le modèle lui-même, Gruss a déclaré qu’il avait cité des recherches actives qui permettraient au modèle de mieux distinguer les instructions et les données. Alternativement, les applications où l’agent est construit sur le dessus peut ajouter les garde-corps requis à n’importe quel agent.
Pour l’instant, « chaque Fortune 500 que je connais a peur de mener des agents à la production », dit-il, notant que AIM a précédemment étudié les agents de codage qui ont pu exécuter du code malveillant sur les machines des développeurs. « Il y a des utilisateurs qui expérimentent, mais ce type de vulnérabilité sera maintenu la nuit et empêchera l’innovation. »
Cette histoire a été initialement présentée sur Fortune.com.
