СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

XPIA в Microsoft Copilot: фишинг через суммирование электронной почты

Недавние расследования показали, что инструменты суммирования электронной почты в экосистеме Microsoft — в частности функции, связанные с Copilot — подвержены технике, обозначенной как cross prompt injection (XPIA). Злоумышленники могут внедрять скрытые инструкции в тело писем, заставляя систему генерировать доверительные, но злонамеренные сообщения и тем самым обходить традиционные механизмы защиты.

Что обнаружено

Исследование выявило, что при использовании функций суммирования электронных писем Copilot иногда интегрирует атакующий контент в итоговые сводки. В ряде случаев эта манипуляция приводила к появлению правдоподобных «предупреждений о безопасности», отображавшихся в интерфейсе сводки и создававших иллюзию официального уведомления от системы.

«Предупреждения о безопасности»

Такая тактика эксплуатирует врождённое доверие пользователей к контенту, сгенерированному ИИ: итоговые резюме воспринимаются как системные и поэтому заслуживающие доверия, что облегчает проведение фишинговых атак.

Механизм атаки: как работает cross prompt injection (XPIA)

  • Злоумышленник добавляет в тело письма специально сформулированный вредоносный текст или скрытые инструкции.
  • Функция суммирования обрабатывает весь текст письма и может включить часть этого вредоносного контента в итоговую сводку.
  • Пользователь видит сгенерированное Copilot сообщение, воспринимает его как официальное и может выполнить дальнейшие действия (открыть ссылку, передать данные и т.д.).

Поведение Copilot в разных интерфейсах

Исследование подчёркивает, что поведение Copilot отличается в зависимости от клиентского окружения:

  • Outlook (кнопка «Summarize»): показала потенциальную способность обнаруживать и блокировать подозрительный контент в отдельных случаях; механизм суммаризации иногда фильтровал очевидно вредоносные фрагменты.
  • Copilot pane: демонстрировал большую уязвимость — панель часто подчинялась скрытым инструкциям и показывала непоследовательное поведение безопасности.
  • Teams: в целом сохранял осторожный подход, но всё равно мог повторять контент, предоставленный атакующими, в своих выводах.

Риски и масштабы угрозы

Ключевая опасность — это новый вид фишинга, основанный на доверии к AI-генерируемым сводкам. Атакующие могут создавать сообщения, которые выглядят как легитимные системные уведомления, и таким образом обходить традиционные фильтры защиты. Дополнительное усложнение — возможность масштабирования атак.

Copilot и другие ИИ-ассистенты способны извлекать данные из сервисов Microsoft 365, включая Teams, OneDrive и SharePoint. Это открывает путь не только для манипуляции письмами, но и для потенциальной «эксфильтрации данных в один клик» — когда злоумышленник, воздействуя на поведение модели, получает доступ или инициирует утечку конфиденциальной информации.

Реакция Microsoft и статус исправлений

После сообщений об уязвимости Microsoft оперативно классифицировала проблему как CVE-2026-26133 и начала многофазный процесс смягчения. Внутренние воспроизведения атак подтвердили наличие слабых мест в рендеринге и обработке ссылок в затронутых клиентах, что позволило компании определить направления для исправлений.

Рекомендации для пользователей и организаций

До полного устранения всех векторов атаки желательно принять дополнительные меры безопасности:

  • Не воспринимать автоматически сгенерированные сводки как безусловно достоверные — проверять источник и контекст.
  • Осторожно относиться к ссылкам и вложениям, полученным через AI-резюме; использовать функцию предварительного просмотра URL и проверять домены.
  • Обновить клиенты Outlook, Teams и другие приложения Microsoft до последних версий и применять доступные патчи.
  • Ограничить доступ Copilot к чувствительным хранилищам и включить политики DLP (Data Loss Prevention) для контроля эксфильтрации данных.
  • Настроить аудит и мониторинг активности Copilot и почтовых клиентов для обнаружения аномалий.
  • Провести обучение сотрудников по признакам фишинга, включая специфические сценарии с участием AI-генерируемого контента.

Вывод

Обнаруженная техника cross prompt injection (XPIA) демонстрирует, что интеграция ИИ в рабочие процессы повышает как удобство, так и новые риски. Пока разработчики закрывают выявленные уязвимости (включая работу по CVE-2026-26133), организациям и пользователям важно сохранять критическое отношение к AI-генерируемым сводкам и усиливать защитные механизмы для предотвращения фишинга и возможной утечки данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: