Echoleak is een nieuwe aanvalsvector waarbij AI-assistenten worden misleid door subtiel gemanipuleerde prompts. De aanval werkte zonder malware of phishing, maar met taal als wapen tegen Microsoft 365 Copilot.
Dat toont onderzoek van Check Point. De zero-click aanval op Microsoft 365 Copilot markeert een keerpunt in cybersecurity. Geen malware, geen phishing, geen exploits – enkel een subtiele tekstmanipulatie was genoeg om de AI-assistent gevoelige data te laten delen. “Copilot deed exact waarvoor het ontworpen was: helpen. Alleen kwam de instructie van een aanvaller, niet van de gebruiker”, stelt het onderzoeksteam.
De aanval injecteert een prompt in een onschuldig document of e-mail. Copilot interpreteerdt die als opdracht, niet als data. Zonder dat de gebruiker iets aanklikt, werden interne bestanden, mails of credentials vrijgegeven.
Gehoorzaamheid als zwakte
LLM-gebaseerde AI-assistenten zijn geoptimaliseerd om te begrijpen en uit te voeren, ook bij onduidelijk geformuleerde instructies. Zodra ze diep verweven zijn met besturingssystemen en productiviteitssoftware, ontstaat een gevaarlijke combinatie. Een alomtegenwoordige, gehoorzame tool met toegang tot gevoelige data.
“De aanvalsvector is verschoven van code naar conversatie”, stelt Check Point. “We hebben systemen gebouwd die actief taal omzetten in acties. Dat verandert alles.”
Veel bedrijven vertrouwen op LLM-“watchdogs” die gevaarlijke instructies proberen te filteren. Deze modellen zijn echter vatbaar voor dezelfde misleiding. Aanvallers kunnen hun intenties verdelen over meerdere prompts of instructies verstoppen in andere talen. Zelfs in Echoleak waren er safeguards aanwezig. Ze werden omzeild door een tekort aan context, niet door een bug.
Tip: Microsoft maakt van GitHub Copilot volwaardige AI-agent