ДокументацияБиблиотека
БИБЛИОТЕКА ЗАЩИТЫ ИИ

📧 Защита email и продуктивити-копилотов: безопасность от косвенной инъекции через письма и документы

Целевая аудитория: Команды, разворачивающие email- и продуктивити-копилотов — ассистенты Microsoft 365 Copilot и Google Workspace/Gmail, почтовые помощники, копилоты, которые читают входящие, файлы и календарь пользователя.

Email-копилот отличается от чат-бота одним свойством, которое переворачивает модель угроз: он сам втягивает контент, доступный атакующему — ваш почтовый ящик, расшаренные файлы, приглашения в календарь — и при этом может совершать действия: отправлять письма, делиться файлами, создавать правила, планировать встречи. Поэтому главный риск здесь — не прямая инъекция от пользователя, а косвенная инъекция, приходящая по почте: атакующий присылает письмо с нагрузкой, копилот читает его, отвечая на несвязанный запрос, и исполняет внедрённую инструкцию — без единого клика пользователя. Реальный прецедент — EchoLeak (CVE-2025-32711, CVSS 9.3): первый zero-click эксплойт против AI-агента, в котором письмо заставляло Microsoft 365 Copilot выгрузить приватные данные организации. Когда стоит задача обеспечить безопасность Copilot и защиту email-копилота, защищать нужно входящий канал (письма, документы, приглашения) и исходящие действия копилота.

SYNTREX (защитный слой Spectorn) инспектирует контент, который копилот втягивает из писем и файлов, на встроенные инструкции и каналы эксфильтрации, контролирует исходящие действия (отправка, шаринг, правила), маскирует утечку данных и ведёт неизменяемый журнал решений. SYNTREX работает в составе платформы Spectorn и разворачивается standalone на внутреннем контуре заказчика.

Эта страница разбирает риски email-копилотов в терминах OWASP Top 10 для LLM-приложений (2025) и техник MITRE ATLAS — и показывает, какие движки SYNTREX закрывают каждый вектор.


🛑 Ключевые риски и как SYNTREX их закрывает

1. Косвенная инъекция через входящие письма и документы (Indirect Prompt Injection)

Риск: Атакующий присылает письмо с нагрузкой (или расшаривает документ); копилот читает его, отвечая на несвязанный запрос пользователя, и следует внедрённой инструкции — без взаимодействия пользователя («пользователю не нужно открывать или кликать вредоносное письмо»). Это головной риск email-копилотов и механизм доставки, лежащий в основе EchoLeak: вредоносная инструкция приходит из источника, которому копилот доверяет по умолчанию.

OWASP LLM01:2025 Prompt Injection, LLM06:2025 Excessive Agency · MITRE ATLAS AML.T0051 (LLM Prompt Injection, индиректный поток).

Защита SYNTREX:

  • Движки: injection, dormant_payload, output_scanner.
  • injection инспектирует тело письма и содержимое документа как недоверенный ввод — встроенные инструкции и скрытые/невидимые символы отклоняются до того, как копилот начнёт по ним действовать.
  • dormant_payload распознаёт отложенные нагрузки, рассчитанные сработать при последующей обработке; output_scanner перехватывает попытку копилота исполнить внедрённую команду.

2. Эксфильтрация данных через копилот: EchoLeak и ASCII-смаглинг (Data Exfiltration)

Риск: EchoLeak (CVE-2025-32711, исправлен Microsoft на стороне сервера) — первый zero-click эксплойт против AI-агента: сконструированное письмо вызывает «нарушение области» (LLM Scope Violation), при котором недоверенный внешний ввод заставляет Copilot поднять привилегированные данные организации и слить их через авто-подгружаемую markdown-картинку или ссылку, обходя классификаторы и редактирование ссылок. Родственная техника — ASCII-смаглинг: невидимые Unicode-теги прячут эксфильтруемые данные внутри безобидной на вид гиперссылки.

OWASP LLM02:2025 Sensitive Information Disclosure, LLM01:2025 Prompt Injection, LLM05:2025 Improper Output Handling · MITRE ATLAS AML.T0024 (Exfiltration via AI Inference API), AML.T0051 (LLM Prompt Injection — триггер).

Защита SYNTREX:

  • Движки: output_scanner, exfiltration, secret_scanner.
  • output_scanner инспектирует исходящий ответ копилота на каналы эксфильтрации — авто-подгружаемые картинки, подозрительные ссылки, скрытые Unicode-теги ASCII-смаглинга — и блокирует их до выдачи.
  • exfiltration ловит сам паттерн «приватные данные → внешний канал»; secret_scanner (недизаблируемый инвариант) не даёт секретам уйти в составе ссылки или вложения.

3. Абуз авто-действий и избыточные полномочия (Excessive Agency)

Риск: Внедрённые инструкции заставляют копилот использовать подключённые инструменты — отправить письмо, переслать тред, расшарить файлы, создать правило, запланировать встречу — превращая избыточную агентность в действия, управляемые атакующим, и в латеральное движение. Копилот действует от имени пользователя, поэтому отправленное им письмо выглядит легитимным.

OWASP LLM06:2025 Excessive Agency, LLM01:2025 Prompt Injection · MITRE ATLAS AML.T0051 (LLM Prompt Injection), AML.T0048 (External Harms).

Защита SYNTREX:

  • Движки: goal_predictability, tool_abuse, capability_flow.
  • goal_predictability — эвристический поведенческий движок: в рассуждениях/командах копилота выявляет многошаговые цепочки увода с штатной цели (напр. «прочитать секрет → отправить», «разведка → эксплойт»); такой goal-hijack паттерн помечается до исполнения.
  • tool_abuse распознаёт опасный вызов подключённого инструмента; capability_flow контролирует поток возможностей, не давая внедрённой инструкции связать «чтение письма» с «отправкой данных наружу».

Что SYNTREX честно НЕ заменяет: принцип наименьших привилегий для подключённых инструментов и human-in-the-loop для меняющих состояние действий. Критичные операции (массовая рассылка, внешний шаринг) должны требовать подтверждения человека на уровне самого копилота. SYNTREX блокирует аномальное действие, но не подменяет узкие scope'ы инструментов и подтверждение пользователя.

4. Утечка системного промпта и данных другого пользователя (System Prompt / Cross-User Leakage)

Риск: Сконструированные промпты выманивают у копилота его скрытый системный промпт/конфигурацию (что облегчает последующие атаки) либо поднимают данные другого пользователя/тенанта через общий бэкенд-контекст. Канонический прецедент кросс-воркспейсной эксфильтрации — индиректная инъекция в Slack AI (кейс ATLAS AML.CS0035).

OWASP LLM07:2025 System Prompt Leakage, LLM02:2025 Sensitive Information Disclosure · MITRE ATLAS AML.T0051 (LLM Prompt Injection), AML.T0024 (Exfiltration via AI Inference API).

Защита SYNTREX:

  • Движки: output_scanner, injection, intent_revelation.
  • injection распознаёт попытки выманить системный промпт; output_scanner инспектирует ответ на фрагменты промпта и служебной конфигурации и блокирует их.
  • intent_revelation помечает запросы, чья реальная цель — раскрытие внутренних инструкций или данных за пределами текущего пользователя.

5. Вредоносные приглашения в календарь и вложения как носители инъекции (Injection Carriers)

Риск: Нагрузка едет в теле приглашения на встречу, в описании .ics, во вложенном документе или в метаданных файла — контент, который копилот втягивает, суммируя «мой день» или «это вложение». Механизм тот же, что и в письме (риск №1), но носитель другой — и именно календарь/вложения часто упускают из виду по сравнению с телом письма.

OWASP LLM01:2025 Prompt Injection, LLM06:2025 Excessive Agency · MITRE ATLAS AML.T0051 (LLM Prompt Injection, индиректный поток).

Защита SYNTREX:

  • Движки: injection, dormant_payload, output_scanner.
  • injection инспектирует тело приглашений, описания .ics, содержимое вложений и метаданные файлов как недоверенный ввод — наравне с телом письма.
  • dormant_payload распознаёт нагрузки, рассчитанные сработать при суммаризации; output_scanner перехватывает попытку действия по внедрённой инструкции.

6. Извлечение избыточно-доступных данных внутри копилота (Over-Permissioned Retrieval)

Риск: Поскольку копилот наследует (часто слишком широкие) права пользователя в тенанте и не применяет суждения, запрос «суммируй таблицу с зарплатами» поднимает файлы, которые пользователь технически может открыть, но видеть был не должен. Это «перешаринг», знакомый по RAG-развёртываниям, но в обличье копилота.

OWASP LLM02:2025 Sensitive Information Disclosure, LLM08:2025 Vector and Embedding Weaknesses · MITRE ATLAS AML.T0024 (Exfiltration via AI Inference API).

Защита SYNTREX:

  • Движки/компоненты: pii, exfiltration, Decision Logger.
  • pii маскирует чувствительные поля в поднятых документах; exfiltration помечает аномальный объём извлечения, характерный для «вычёрпывания» сверх роли.
  • Decision Logger фиксирует, какие файлы были подняты в ответ на запрос — основа для разбора несанкционированного доступа.

Граница ответственности: устранение пере-шаринга у источника (sensitivity-метки, ревизия прав до развёртывания копилота) — задача вашей платформы коллаборации. SYNTREX маскирует утечку и даёт аудит, но не подменяет наведение порядка в правах доступа. Архитектуру извлечения по стадиям разбирает Безопасность RAG-приложений как поверхности.


🛠️ Рекомендуемая конфигурация

Профиль для email/продуктивити-копилота — инспекция втянутого контента, контроль авто-действий и блокировка каналов эксфильтрации:

YAML
# syntrex.yaml — профиль email/продуктивити-копилота version: "1.0" mode: email_copilot engines: injection: action: block # тело письма, документы, приглашения, .ics, метаданные inspect_retrieved_content: true normalize_unicode: true # скрытые инструкции и ASCII-смаглинг confidence_threshold: 0.80 dormant_payload: action: flag # нагрузки, срабатывающие при суммаризации output_scanner: action: block # авто-картинки, ссылки, Unicode-теги, фрагменты промпта inspect_links: true detect_unicode_smuggling: true exfiltration: action: block # приватные данные → внешний канал (EchoLeak-паттерн) confidence_threshold: 0.90 secret_scanner: always_on # секреты не уходят в ссылке/вложении goal_predictability: action: block # поведенческая эвристика: многошаговые цепочки атак / увод с цели tool_abuse: action: block # опасный вызов подключённого инструмента capability_flow: action: block # связка «чтение письма» → «отправка наружу» intent_revelation: action: flag pii: action: redact mask_character: "*" audit: decision_logger: true # неизменяемая цепочка решений (SHA-256/HMAC)

🚨 Правила корреляции (SOC)

Связки «инъекция в письме → эксфильтрация» и «инъекция → авто-действие» — ключевые индикаторы компрометации копилота:

JSON
{ "name": "COPILOT_ECHOLEAK_EXFIL_CHAIN", "description": "Инъекция во входящем письме/документе, за которой следует выгрузка приватных данных через ссылку/картинку", "condition": "sequence(injection[source='retrieved_content', confidence>0.7], output_scanner[match=true] OR exfiltration[confidence>0.8], 15s)", "severity": "CRITICAL", "playbook": "block_egress_and_alert_soc" }
JSON
{ "name": "COPILOT_INJECTION_TO_AUTOACTION", "description": "Инъекция во втянутом контенте, за которой следует авто-действие копилота (отправка, шаринг, правило)", "condition": "sequence(injection[source='retrieved_content', confidence>0.7], goal_predictability[violation=true] OR tool_abuse[match=true], 20s)", "severity": "CRITICAL", "playbook": "block_action_and_require_human_approval" }

❓ Частые вопросы (FAQ)

Почему косвенная инъекция через письмо — головной риск email-копилота? Потому что копилот сам втягивает входящие, отвечая на несвязанный запрос, и доверяет им по умолчанию — атакующему достаточно прислать письмо, пользователю не нужно его открывать или кликать. Так работал EchoLeak. SYNTREX инспектирует тело письма и документы как недоверенный ввод движком injection с нормализацией Unicode, а output_scanner и exfiltration перехватывают попытку слить данные.

Что такое EchoLeak (CVE-2025-32711) и закрывает ли его SYNTREX? EchoLeak — первый zero-click эксплойт против AI-агента: письмо вызывало «нарушение области», заставляя Microsoft 365 Copilot поднять приватные данные и слить их через авто-подгружаемую картинку/ссылку. Microsoft устранил конкретную уязвимость на стороне сервера. SYNTREX закрывает класс целиком на исходящем потоке: output_scanner блокирует авто-картинки, подозрительные ссылки и Unicode-смаглинг, а exfiltration ловит сам паттерн выгрузки.

Что такое ASCII-смаглинг в контексте копилота? Это сокрытие эксфильтруемых данных внутри безобидной на вид гиперссылки с помощью невидимых Unicode-тегов: пользователь видит обычную ссылку, а в ней спрятаны украденные данные. SYNTREX инспектирует исходящий ответ движком output_scanner с детекцией Unicode-смаглинга и нормализует скрытые символы движком injection на входе.

Как не дать копилоту отправить письмо или расшарить файл по команде атакующего? Внедрённая инструкция может заставить копилот использовать подключённые инструменты — отправку, шаринг, создание правил. SYNTREX эвристически выявляет многошаговые цепочки увода с цели (goal_predictability), ловит опасный вызов инструмента (tool_abuse) и разрывает связку «чтение письма → отправка наружу» (capability_flow). Но критичные операции должны дополнительно требовать подтверждения человека на уровне самого копилота — SYNTREX это не подменяет.

Может ли копилот показать данные другого пользователя или другого тенанта? Да — через выманивание системного промпта или через общий бэкенд-контекст (канонический прецедент — индиректная инъекция в Slack AI, кейс ATLAS AML.CS0035). SYNTREX распознаёт попытки выманить промпт (injection), блокирует его фрагменты в ответе (output_scanner) и помечает запросы за пределы текущего пользователя (intent_revelation).

Опасны ли приглашения в календарь и вложения так же, как письма? Да, и их часто упускают: нагрузка едет в теле приглашения, описании .ics, вложенном документе или метаданных файла — копилот втягивает их, суммируя «мой день» или «это вложение». SYNTREX инспектирует эти носители движком injection наравне с телом письма, а dormant_payload распознаёт нагрузки, рассчитанные сработать при суммаризации.

Что SYNTREX в email-копилоте НЕ заменяет? Принцип наименьших привилегий для подключённых инструментов, human-in-the-loop для меняющих состояние действий и устранение пере-шаринга у источника (sensitivity-метки, ревизия прав до развёртывания). SYNTREX инспектирует втянутый контент, блокирует каналы эксфильтрации и аномальные действия и даёт аудит — но узкие scope'ы инструментов, подтверждение пользователя и наведение порядка в правах остаются на стороне платформы. Архитектуру извлечения по стадиям разбирает Безопасность RAG-приложений как поверхности.


📚 Источники

Внутренние материалы: OWASP Top 10 для LLM (2025) · Безопасность RAG-приложений как поверхности · Безопасность автономных AI-агентов · Безопасность MCP-серверов.

Защита email и продуктивити-копилотов: безопасность от косвенной инъекции через письма и документы | Spectorn | Spectorn