EchoLeak: Sıfır Tıklamalı AI Güvenlik Açığı
2025 yılı Ocak ayında Aim Labs araştırmacıları tarafından keşfedilen EchoLeak, ilk bilinen sıfır tıklamalı AI güvenlik açığı olarak göze çarpıyor. Bu saldırı modeli, kötü niyetli kişilerin kullanıcıdan herhangi bir etkileşim gerektirmeksizin Microsoft 365 Copilot‘tan önemli verileri dışarıya aktarmalarına olanak tanıyor. Microsoft, bu güvenlik açığını CVE-2025-32711 koduyla sınıflandırarak kritik bir bilgi sızıntısı olarak değerlendirdi ve bu açığı Mayıs 2025’te sunucu tarafında kapattı. Kullanıcıların herhangi bir işlem yapmasına gerek kalmadı.
Microsoft, bu açığın gerçek dünyada kullanılmasına dair bir kanıt bulunmadığını belirtti. Dolayısıyla, bu güvenlik açığı kullanıcıları etkilemedi. Microsoft 365 Copilot, Word, Excel, Outlook ve Teams gibi ofis uygulamalarında entegre bir AI asistanı olarak çalışıyor. OpenAI’nın GPT modellerini ve Microsoft Graph’i kullanarak, kullanıcıların içerik oluşturmasına, veri analizine ve organizasyonel dosyalar, e-postalar ve sohbetler üzerinden soruları yanıtlamasına yardımcı oluyor.
EchoLeak Saldırısının Mekanizması
EchoLeak saldırısı, hedef kişiye gönderilen kötü niyetli bir e-posta ile başlıyor. Bu e-posta, Copilot ile ilgili olmayan bir metin içeriyor ve tipik bir iş belgesi gibi görünmesi için biçimlendirilmiş durumda. Ancak, bu e-posta gizli bir prompt injection (istem enjekte etme) içeriyor. Bu, LLM’in (büyük dil modeli) hassas iç verileri dışarıya aktarabilmesi için tasarlanmış bir talimatı içeriyor.
E-posta, Microsoft’un XPIA (cross-prompt injection attack) sınıflandırma korumalarını aşacak şekilde, normal bir insan mesajına benzer şekilde formüle edilmiştir. Daha sonra kullanıcı, Copilot’tan ilgili bir iş sorusu sorduğunda, Retrieval-Augmented Generation (RAG) motoru aracılığıyla e-posta, LLM’in prompt bağlamına geri alınıyor. Bunun nedeni, e-postanın biçimi ve görünür ilgiliğidir.
Kötü niyetli enjekte, artık LLM’e ulaşarak hassas iç verileri almak ve bunları açıkça belirlenmiş bir bağlantı veya görüntüye yerleştirmek için "aldatıyor". Aim Labs, bazı markdown görüntü formatlarının tarayıcının resmi istemesiyle, URL’nin otomatik olarak gönderilmesi ve gömülü verilerin saldırganın sunucusuna iletilmesi sonucunu doğurduğunu buldu.
Güvenlik Açığının Sonuçları
Microsoft, çoğu dış alanı engelleyen CSP (Cloud Security Policy) politikalarına sahip olsa da, Microsoft Teams ve SharePoint URL’leri güvenilir olarak kabul edildiği için verilerin dışarıya aktarılması kolaylıkla gerçekleştirilebilir. EchoLeak, çözülmüş olsa da, LLM uygulamalarının iş akışlarına daha derin entegrasyonu ve artan karmaşıklığı, geleneksel savunma sistemlerini aşındırmaktadır. Bu trend, düşmanların gizlice elde edebileceği yeni türde silahlandırılabilir güvenlik açıkları yaratma riski taşımaktadır.
Kurumsal Güvenliğin Güçlendirilmesi
Kuruluşların, prompt injection filtrelerini güçlendirmesi, ince ayar yapılmış giriş alımı gerçekleştirmesi ve LLM çıktılarında dış bağlantılar veya yapılandırılmış veri içeren yanıtları engellemek üzere son işlem filtreleri uygulaması önemlidir. Ayrıca, RAG motorları, kötü niyetli istemleri baştan önlemek için dış iletişimleri hariç tutacak şekilde yapılandırılabilir.
Bu bağlamda, EchoLeak’in ortaya koyduğu yeni tür güvenlik açıkları, AI tabanlı sistemlerin zaaflarını su yüzüne çıkartarak daha geniş bir siber tehdit oluşturmaktadır. Kullanıcılar ve kuruluşlar, bu tür tehditlere karşı daha hazırlıklı ve bilgilendirici stratejilerle karşı koymalıdır.
EchoLeak gibi saldırılar, bir zamanlar karmaşık komut dosyaları, uzun çalışma saatleri ve bitmek bilmeyen tatbikatlarla düzeltmeler yapmanın artık bir anlamı olmadığını gösteriyor. Günümüz IT organizasyonları otomasyonla daha verimli hale gelirken, güvenlik açıklarının önlenmesi için sürekli gelişen yeni yöntemler ve teknolojiler takip edilmektedir. Özellikle AI sistemleri için alınacak önlemler, gelecekteki olası sızıntı ve saldırılara karşı kritik bir öneme sahip olacaktır.
