EchoLeak e la nuova frontiera delle minacce AI: 5 lezioni per le aziende nell'era di Copilot e ChatGPT

di Suhaas Kodagali e Sarang Warudkar -

14 luglio 2025 5 Minuti di lettura

La recente divulgazione di EchoLeak (CVE-2025-32711)-una vulnerabilità di iniezione di prompt indiretto a zero clic che ha come bersaglio Microsoft 365 Copilot, ha inviato un chiaro segnale alle sale riunioni e ai SOC: L'AI non è più solo un fattore di produttività. Ora fa parte della superficie di attacco aziendale.

Ciò che rende EchoLeak particolarmente allarmante è che non era richiesta alcuna azione da parte dell'utente. Bastava un'e-mail maligna per far sì che Copilot ingerisse istruzioni nascoste, agisse e potenzialmente facesse trapelare dati sensibili, il tutto in background.

Per i CISO e i team di protezione dei dati, questo è più di un campanello d'allarme: è un mandato a ripensare il modo in cui l'AI viene governata, protetta e monitorata in tutta l'azienda.

Che cos'è EchoLeak?

• Attacco zero-click: Non è richiesta alcuna azione da parte dell'utente: basta inviare un'e-mail artigianale. Anche senza aprirla o interagire con essa, Copilot può ingerire istruzioni nascoste quando riassume i dati dell'area di lavoro.
• Iniezione indiretta di pronto soccorso: Il contenuto dannoso è incorporato all'interno di e-mail o documenti "normali" - la terminologia e la formulazione sono accuratamente create in modo che Copilot le consideri come richieste benigne.
• Sfruttamento della RAG: Il sistema di recupero di Copilot include le e-mail recenti nel contesto. Al momento della sintesi, può rilevare il prompt dannoso ed eseguire attività come l'estrazione di dati sensibili e l'esfiltrazione tramite immagini nascoste o link markdown a server controllati dall'aggressore.

5 lezioni critiche che ogni organizzazione dovrebbe trarre da EchoLeak

 

1. L'IA ombra è il punto cieco in più rapida crescita

L'utilizzo dell'AI ombra sta esplodendo in tutte le aziende, con il traffico di app di AI è cresciuto del 200% nell'ultimo anno e le aziende utilizzano in media 320 app di IA non autorizzate (AI CARR 2025). Questa impennata sottolinea come gli strumenti abilitati all'AI vengano adottati al di fuori della supervisione dell'IT, creando problemi di visibilità e governance. Inoltre, i dipendenti caricano i dati aziendali su queste app per ottimizzare i flussi di lavoro aziendali. Per affrontare questo problema, le organizzazioni stanno sfruttando soluzioni SSE per scoprire automaticamente gli strumenti di AI non autorizzati, assegnare punteggi di rischio e applicare politiche che impediscano l'accesso non autorizzato ai dati. Infatti, le soluzioni SSE forniscono informazioni sul rischio di LLM per le app AI non autorizzate, consentendo una maggiore governance su quali app AI sono consentite all'interno dell'azienda. Grazie a questi guardrail, i team di sicurezza possono riacquistare il controllo sulla rapida espansione dell'adozione dell'AI da parte dei dipendenti aziendali.

2. La protezione dei dati sulle app AI è fondamentale

I dati diSkyhigh Security rivelano che l'11% dei file caricati sulle applicazioni di AI contiene contenuti aziendali sensibilieppure meno del 10% delle aziende ha implementato politiche di protezione dei dati per mitigare questo rischio. (AI CARR 2025). Il controllo dei dati caricati sulle applicazioni AI è una parte importante di ciò che può essere esfiltrato. Una delle preoccupazioni principali dei team di sicurezza è che una volta che i dati aziendali vengono caricati nell'app AI, è possibile per gli utenti all'interno o all'esterno dell'azienda recuperare questi dati utilizzando un'ingegnerizzazione intelligente. Pertanto, l'applicazione della DLP sui dati caricati nelle app AI è ora una parte fondamentale della sicurezza dei dati aziendali. Questo include i dati caricati nelle app AI ombra e nelle app AI autorizzate dall'azienda.

3. L'esposizione dei dati aziendali tramite Microsoft Copilot è un rischio chiave di esfiltrazione dei dati.

L'ascesa fulminante di Microsoft Copilot-il traffico è cresciuto di 3.600 volte e i caricamenti di dati sono aumentati di 6.000 volte nell'ultimo anno (AI CARR 2025).-evidenzia la rapidità con cui gli assistenti alimentati da LLM si stanno integrando nei flussi di lavoro aziendali. Oltre ai dati sensibili che vengono caricati su M365 Copilot, i team di sicurezza sono anche preoccupati che i dati ingeriti da Copilot possano essere condivisi dal chatbot con i dipendenti che ingegnerizzano le richieste per recuperarli. Ad esempio, Copilot potrebbe rivelare i dettagli di un progetto classificato a un dipendente non autorizzato, dopo aver ingerito una presentazione o la trascrizione di una riunione con quelle informazioni sul progetto. Per risolvere questo problema, i team di sicurezza utilizzano la DLP all'interno delle soluzioni SSE per applicare le etichette di classificazione necessarie per impedire l'ingestione di dati sensibili in Copilot. In questo modo, anche con l'ingegneria tempestiva, Copilot non rivelerà questi contenuti.

4. I rischi di iniezione immediata richiedono una difesa proattiva

EchoLeak appartiene a una classe crescente di attacchi chiamati indirect prompt injection, in cui le istruzioni avversarie sono nascoste in contenuti dall'aspetto gradevole. Allarmante, il 94% dei servizi di AI è vulnerabile ad almeno un vettore di rischio LLM, tra cui prompt injection, malware, pregiudizio o tossicità (AI CARR 2025). Per combattere questo problema, le aziende utilizzano piattaforme SSE con protezione da iniezione immediata che scansiona e sanifica gli input prima che raggiungano i sistemi AI aziendali, neutralizzando efficacemente le minacce nascoste.

5. Monitorare l'attività dell'intelligenza artificiale come farebbe con le minacce interne.

Gli agenti di AI operano a velocità di livello di sistema, ma non hanno un giudizio umano, per cui è essenziale considerare le loro azioni come potenzialmente rischiose, in particolare quando il comportamento si discosta dai modelli stabiliti. Per mitigare questo aspetto, le aziende dovrebbero utilizzare soluzioni SSE per monitorare e tracciare l'attività degli utenti sulle app AI, per rilevare modelli di utilizzo insoliti, caricamenti di file o download. Queste soluzioni utilizzano l'UEBA per far emergere le anomalie basate sull'uso e sulla posizione e alimentano questi input nel calcolo del rischio dell'utente. Questi flussi di lavoro sono già stati implementati dalle aziende su altre soluzioni SaaS e ora si stanno estendendo alle app AI.

Il futuro: SSE AI-Nativo per imprese resilienti

EchoLeak non sarà l'ultimo attacco alle app AI. Man mano che gli utenti comprendono meglio le app AI e il prompt engineering, è probabile che si verifichino altri attacchi di questo tipo. Le aziende devono implementare oggi dei controlli sull'utilizzo dell'AI per proteggere meglio i dati aziendali dall'esfiltrazione verso o tramite le app AI. Le soluzioni SSE come Skyhigh Security forniscono funzionalità chiave per applicare questi controlli. 

Capacità chiave dell'SSE per prevenire gli exploit dell'AI:

• Scoperta dell'IA ombra: Rileva gli strumenti GenAI non autorizzati e assegna punteggi di rischio.
• Governance AI: Applichi controlli per bloccare le app AI rischiose o applichi controlli di attività più granulari.
• DLP sui prompt dell'AI: Applica i controlli di protezione dei dati sui prompt e sulle risposte
• Protezione Iniezione Rapida: Scansiona i contenuti alla ricerca di prompt nascosti e blocca l'uso improprio dell'AI.
• UEBA / Monitoraggio delle attività: Identifica le minacce ed esegue un'indagine sulle attività eseguite sulle app AI

Skyhigh Security è un pioniere della sicurezza AI-nativa per le aziende. La nostra piattaforma Security Service Edge (SSE), erogata nel cloud, è progettata in modo unico per proteggere i dati sensibili e gestire i rischi dell'AI, attraverso strumenti GenAI sanzionati e non sanzionati, copiloti e agenti basati su RAG. Con una profonda esperienza in CASB, SWG, ZTNA, RBI e DLP integrato, Skyhigh consente alle organizzazioni di adottare l'AI in modo responsabile, rimanendo al passo con le minacce emergenti come EchoLeak.

Per saperne di più Soluzioni di sicurezza AI Skyhigh oggi.

Torna ai blog