EchoLeak — zero-click атака на AI через email [3/14] #promptinjection #echoleak #zeroclick Отправь email. Подожди. Данные придут сами. Это EchoLeak — первый задокументированный zero-click prompt injection exploit в продакшн LLM-системе. Что это CVE-2025-32711, CVSS 9.3 (оценка Microsoft). Цель — Microsoft 365 Copilot. Раскрыта в июне 2025, arxiv-paper вышел в сентябре. Техника не новая: Johann Rehberger ещё в июне 2023 показал эксфильтрацию через Bing Chat с рендерингом markdown-картинок. EchoLeak — та же идея, доведённая до продакшн-эксплойта с CVE. Как работает 1. Атакующий отправляет email с HTML-телом, содержащим скрытый блок (display:none, visibility:hidden, font-size:0) 2. Пользователь текст не видит. Copilot — видит 3. Когда Copilot обрабатывает запрос, связанный с email, он читает скрытые инструкции 4. Copilot генерирует ответ с markdown-картинкой: ! 5. Клиент автоматически фетчит URL — данные утекают на сервер атакующего Весь chain: отправка email, ожидание, эксфильтрация. Жертва ничего не нажимает. Защита ➡️ HTML sanitization — парсить email через text-only перед подачей в LLM ➡️ Egress filtering — блокировать запросы к неизвестным доменам ➡️ CSP для агентов — whitelist разрешённых endpoints ➡️ Human-in-the-loop — подтверждение на действия из обработки email Моё мнение EchoLeak показал то, чего многие боялись: AI-агент с доступом к inbox — готовый C2-клиент. Компании втыкают AI-ассистентов во все почтовые клиенты подряд и не задаются вопросом: а что если входящее письмо — это exploit? Microsoft запатчила конкретную CVE. Вектор жив. display:none — один из десятков способов спрятать текст в HTML. Есть visibility:hidden, font-size:0, color:white, CSS clip-path, position:absolute; left:-9999px. Пока агенты читают raw HTML, эта история будет повторяться. 🔗Источники: ▪️ EchoLeak — arxiv paper ▪️ CVE-2025-32711 — Dark Reading ▪️ Rehberger — Bing Chat exfil PoC (2023) ▪️ OWASP LLM01 🌚 @poxek_ai