Expertos en ciberseguridad detectaron una vulnerabilidad en Microsoft 365 Copilot que permitía extraer información sensible del contexto de un modelo de IA, con solo enviar un e-mail

Investigadores de la empresa Aim Security descubrieron una vulnerabilidad crítica en Microsoft 365 Copilot que permitía robar información sensible de una empresa u organización, sin que las potenciales víctimas se dieran cuenta y sin que tuvieran que concretar alguna acción en particular para permitir el ataque.

Los expertos bautizaron esta brecha de seguridad en Copilot como EchoLeak y la calificaron como la primera vulnerabilidad de cero clic destinada a agentes de IA. La metodología que desarrollaron los especialistas en ciberseguridad determinó que era posible vulnerar las protecciones del chatbot de Microsoft y extraer información sensible y propietaria del contexto del modelo de IA que lo impulsa.

Aim Security explicó que pudo elaborar un ataque capaz de evadir las salvaguardas de Microsoft 365 Copilot y de los modelos GPT de OpenAI que lo impulsan, valiéndose no solo de una única vulnerabilidad, sino de tres. En su blog oficial, la compañía ha publicado un extenso análisis de los procesos utilizados durante su investigación.

Como Copilot es un chatbot RAG —sigla en inglés de Retrieval Augmented Generation—, utiliza procesos que le permiten recuperar contenidos relevantes para ofrecer mejores respuestas a sus usuarios. Esto abrió la puerta a que los investigadores extrajeran información del contexto del bot de inteligencia artificial y la enviaran a un servidor bajo su control.

Lo más curioso de todo es que para disparar el ataque solo debieron enviar un correo electrónico con instrucciones maliciosas en formato de texto. Las mismas fueron redactadas como si se trataran de acciones que debía completar la persona atacada, pero que Copilot también pudiese interpretar sin disparar las protecciones del sistema, dejando el camino allanado para explotar la vulnerabilidad.

Esta vulnerabilidad de Copilot permitía robar datos con solo un e-mail

Sin entrar en detalles demasiado técnicos, el ataque de Aim Security permitía inyectar prompts en Microsoft 365 Copilot a través de un correo electrónico; la vulnerabilidad se activaba cuando el usuario le consultaba al chatbot por información sensible dentro de los parámetros establecidos. Esto permitía exfiltrar datos incluidos en el contexto del modelo de lenguaje usado para impulsar el chatbot, sin que la víctima se percatara de ello y sin que tuviera que concretar acciones específicas.

Esto quiere decir que, por ejemplo, el empleado de una empresa que usa a diario Microsoft 365 Copilot no tendría que instalar un software infectado o dar clic en un enlace malicioso para que la vulnerabilidad quede expuesta. Y este dato no es menor, considerando que el uso de agentes de IA se está expandiendo de forma brutal en el segmento empresarial de la mano de iniciativas de la propia Microsoft, Salesforce y otras compañías.

Aim Security indica que para explotar la vulnerabilidad de Copilot requirió de saltarse varias protecciones que hoy se consideran «buenas prácticas» para el despliegue de herramientas de inteligencia artificial. Entre ellas, los ataques de inyección cruzada de prompts, el bloqueo de enlace externos y la política de seguridad de contenido o CSP.

A pesar de lo severo del caso demostrado, los expertos afirman no haber encontrado rastros de que algún cliente de Microsoft 365 Copilot haya sufrido un ataque de este tipo. Además, los investigadores presentaron sus descubrimientos al equipo de ciberseguridad de la firma de Redmond, que reparó las brechas que hacían posible el hackeo antes de la publicación de su informe.

Fuente: hipertextual.com