Citlivá data mohou z AI unikat i zcela autonomně

Jak uvedli experti firmy Aim Security, kteří problém jako první popsali, jde o vůbec první zdokumentovaný útok na agenta umělé inteligence bez potřeby jakéhokoliv zásahu uživatele, jako je třeba kliknutí.

To podle nich představuje zásadní riziko pro firmy, které číhá v nástrojích umělé inteligence, které denně používají.

Zmíněná první verze tohoto typu škodlivého kódu – EchoLeak – se zaměřuje na AI systém Copilot v kancelářském balíku Microsoft 365. 

Podle výzkumníků stačí jediný e-mail, aby se tento nástroj nepozorovaně spustil a začal vydávat důležité firemní údaje.

Případ je ještě o to závažnější, že kromě jakékoliv interakce s uživatelem nepotřebuje ani žádné stažení, využívá totiž kritickou zranitelnost Copilotu.

Analytici firmy Aim novou techniku zneužití označili jako „LLM Scope Violation“ a nevylučují, že se může uplatnit i v jiných chatbotech či AI agentech založených na rozšířeném vyhledávání (RAG, Retrieval-Augmented Generation).

Analytici firmy Aim novou techniku zneužití označili jako „LLM Scope Violation“ a nevylučují, že se může uplatnit i v jiných chatbotech či AI agentech založených na rozšířeném vyhledávání (RAG, Retrieval-Augmented Generation).

To by mohlo znamenat ránu pro zavádění například autonomních AI agentů.

Ataky pomocí zmíněného malwaru umožňují útočníkům automaticky exfiltrovat citlivé a proprietární informace z kontextu M365 Copilot, aniž by si toho byl uživatel vědom, a následně je například vydírat.

Navíc je to možné navzdory tomu, že rozhraní M365 Copilot bude přístupné pouze zaměstnancům organizace.

Microsoft už přispěchal s oznámením, že zranitelnost v Copilotu už je opravená a uživatelé mohou tento AI systém bez obav používat.

V databázi zranitelnosti Mitre CVE chyba Copilotu nese označení CVE-2025–32711 a bylo ji přiděleno skóre kritické závažnosti – CVSS 9,3.