חור אבטחה zero-click ב-Microsoft 365 Copilot: 'EchoLeak/SearchLeak' מדליף נתונים

חוקרי אבטחה חשפו פגיעות zero-click ב-Microsoft 365 Copilot, המסומנת CVE-2025-32711 ומכונה EchoLeak/SearchLeak, שמאפשרת לתוקפים להוציא נתונים ארגוניים רגישים דרך מייל בודד מעוצב באמצעות prompt injection — בלי שום אינטראקציה של המשתמש. התוקף שותל הוראות נסתרות במייל; כש-Copilot מעבד את הקשר תיבת הדואר של המשתמש, הוא מציית לפקודות המוזרקות ומדליף נתונים, מה שהופך את זה לאחת ההדגמות המדאיגות יותר של סיכון agent בסביבות ארגוניות.

חוקרים שכתבו ל-CSO Online הזהירו בלשון חדה ש'משטח התקיפה של prompt injection הרגע נעשה גדול יותר', בטענה שככל ש-Copilot ועוזרים דומים מקבלים גישה עמוקה יותר למאגרי נתונים ארגוניים, רדיוס הפגיעה של injection בודד גדל. אופי ה-zero-click הוא ההסלמה הקריטית: הדגמות prompt injection קודמות בדרך כלל דרשו מהמשתמש להדביק או לפתוח תוכן זדוני, בעוד ש-EchoLeak מופעל ממייל שמתקבל באופן פסיבי.

התזמון נוקב. זה נוחת באותו שבוע שבו Microsoft השיקה את Copilot Cowork לזמינות כללית עם היצמדות עמוקה לנתוני M365, ו-AWS השיקה 'agentic security at machine speed' — מה שמדגיש את המתח המרכזי של עידן ה-agents: ככל שאתה מעניק ל-agent יותר הקשר ואוטונומיה, כך injection הופך לקטסטרופלי יותר. בנפרד, Aembit הרחיבה את יכולות ה-identity-and-access-management שלה ל-Microsoft Copilot Studio עבור AI אג'נטי, מה שמשקף שוק מתהווה לבקרות אבטחה ייעודיות ל-agents.

עבור צוותי אבטחה ארגוניים, הלקח הוא שבקרות perimeter ואבטחת מייל מסורתיות לא מטפלות בנתיבי exfiltration ילידיים ל-AI. כדאי לעקוב אחרי פרטי ה-patch וההנחיות להפחתת סיכון של Microsoft, ואחרי השאלה אם זה יאיץ ביקוש להגנות מפני prompt injection, סינון פלט וארכיטקטורות agent של least-privilege בכל התעשייה.