ちょっと前に「LLMの外部参照のセキュリティについて」考えてみたんですけど、それと同じ時期にCopilotエージェントの脆弱性が発見(対処済み)されたようです。
今日、「X」でフォローしている方のリポストで知ったんですけど、Microsoft 365 CopilotのAIエージェントを攻撃するEchoLeakという攻撃が見つかったようです。(Aim Labsの研究者が発見したそうです)
これは、2025年6月(超最近)に公表された史上初のAIエージェントに対するゼロクリック脆弱性で、CVE番号はCVE-2025-32711となり、CVSSv3 スコアはなんと9.3 (Critical)となるとのことです。
Microsoftのプロンプトインジェクション攻撃を防ぐための機能にXPIA分類器という対策があるんですけど、それを回避してしまう仕組みで、被害対象としてはCopilotがアクセスできるユーザの情報が全て対象😱となるようです。(XPIA:cross‑prompt injection attack「間接的なプロンプトインジェクション」)
標的型攻撃とは違ってAIエージェントが騙されるので、ゼロクリックの攻撃となります。
Microsoftでは、既にサーバーサイドで修正済みとのことですので、この攻撃に対する心配は無いようです。しかし、今後同様な攻撃が起こる可能性を否定できないので怖いですね。
この攻撃は、LLM Scope Violation(要はAIコマンドインジェクション)というAI脆弱性となるそうです。これについては段階的な攻撃メカニズムがあって、それについては、これから勉強🧐しようと思っています。
事業の発展のためにもAIエージェントの活用は不可欠ですが、このような攻撃を100%回避することは難しいため、利用目的や利用シーン、そして取り扱うデータについても、事前に十分な検討(ポリシーの策定)と利用者教育などの人的な対応が求められますね。
ということで、前回のテーマだった件ですけど、M365 Copilotのエージェントについては、普段の仕事の中でM365がアクセスする範囲に情報を置く置かないを区別するなんて技は厳しいので、ちょっと危険な感じがしますね。ただ、自前のエージェントがXPIAのような防御機能を備えることができるかというと、それも厳しい気がするので、やはり人的な対応を検討する必要があるでしょう。
PS.このあいだ調べた時にはXPIAなんてどこにも出てこなかったのに、今日調べるとあっちこっちに出てくるんだけど、今回のEchoLeakが影響してるんでしょうね。😅