📧 Защита email и продуктивити-копилотов: безопасность от косвенной инъекции через письма и документы
Целевая аудитория: Команды, разворачивающие email- и продуктивити-копилотов — ассистенты Microsoft 365 Copilot и Google Workspace/Gmail, почтовые помощники, копилоты, которые читают входящие, файлы и календарь пользователя.
Email-копилот отличается от чат-бота одним свойством, которое переворачивает модель угроз: он сам втягивает контент, доступный атакующему — ваш почтовый ящик, расшаренные файлы, приглашения в календарь — и при этом может совершать действия: отправлять письма, делиться файлами, создавать правила, планировать встречи. Поэтому главный риск здесь — не прямая инъекция от пользователя, а косвенная инъекция, приходящая по почте: атакующий присылает письмо с нагрузкой, копилот читает его, отвечая на несвязанный запрос, и исполняет внедрённую инструкцию — без единого клика пользователя. Реальный прецедент — EchoLeak (CVE-2025-32711, CVSS 9.3): первый zero-click эксплойт против AI-агента, в котором письмо заставляло Microsoft 365 Copilot выгрузить приватные данные организации. Когда стоит задача обеспечить безопасность Copilot и защиту email-копилота, защищать нужно входящий канал (письма, документы, приглашения) и исходящие действия копилота.
SYNTREX (защитный слой Spectorn) инспектирует контент, который копилот втягивает из писем и файлов, на встроенные инструкции и каналы эксфильтрации, контролирует исходящие действия (отправка, шаринг, правила), маскирует утечку данных и ведёт неизменяемый журнал решений. SYNTREX работает в составе платформы Spectorn и разворачивается standalone на внутреннем контуре заказчика.
Эта страница разбирает риски email-копилотов в терминах OWASP Top 10 для LLM-приложений (2025) и техник MITRE ATLAS — и показывает, какие движки SYNTREX закрывают каждый вектор.
🛑 Ключевые риски и как SYNTREX их закрывает
1. Косвенная инъекция через входящие письма и документы (Indirect Prompt Injection)
Риск: Атакующий присылает письмо с нагрузкой (или расшаривает документ); копилот читает его, отвечая на несвязанный запрос пользователя, и следует внедрённой инструкции — без взаимодействия пользователя («пользователю не нужно открывать или кликать вредоносное письмо»). Это головной риск email-копилотов и механизм доставки, лежащий в основе EchoLeak: вредоносная инструкция приходит из источника, которому копилот доверяет по умолчанию.
OWASP LLM01:2025 Prompt Injection, LLM06:2025 Excessive Agency · MITRE ATLAS AML.T0051 (LLM Prompt Injection, индиректный поток).
Защита SYNTREX:
- Движки:
injection,dormant_payload,output_scanner. injectionинспектирует тело письма и содержимое документа как недоверенный ввод — встроенные инструкции и скрытые/невидимые символы отклоняются до того, как копилот начнёт по ним действовать.dormant_payloadраспознаёт отложенные нагрузки, рассчитанные сработать при последующей обработке;output_scannerперехватывает попытку копилота исполнить внедрённую команду.
2. Эксфильтрация данных через копилот: EchoLeak и ASCII-смаглинг (Data Exfiltration)
Риск: EchoLeak (CVE-2025-32711, исправлен Microsoft на стороне сервера) — первый zero-click эксплойт против AI-агента: сконструированное письмо вызывает «нарушение области» (LLM Scope Violation), при котором недоверенный внешний ввод заставляет Copilot поднять привилегированные данные организации и слить их через авто-подгружаемую markdown-картинку или ссылку, обходя классификаторы и редактирование ссылок. Родственная техника — ASCII-смаглинг: невидимые Unicode-теги прячут эксфильтруемые данные внутри безобидной на вид гиперссылки.
OWASP LLM02:2025 Sensitive Information Disclosure, LLM01:2025 Prompt Injection, LLM05:2025 Improper Output Handling · MITRE ATLAS AML.T0024 (Exfiltration via AI Inference API), AML.T0051 (LLM Prompt Injection — триггер).
Защита SYNTREX:
- Движки:
output_scanner,exfiltration,secret_scanner. output_scannerинспектирует исходящий ответ копилота на каналы эксфильтрации — авто-подгружаемые картинки, подозрительные ссылки, скрытые Unicode-теги ASCII-смаглинга — и блокирует их до выдачи.exfiltrationловит сам паттерн «приватные данные → внешний канал»;secret_scanner(недизаблируемый инвариант) не даёт секретам уйти в составе ссылки или вложения.
3. Абуз авто-действий и избыточные полномочия (Excessive Agency)
Риск: Внедрённые инструкции заставляют копилот использовать подключённые инструменты — отправить письмо, переслать тред, расшарить файлы, создать правило, запланировать встречу — превращая избыточную агентность в действия, управляемые атакующим, и в латеральное движение. Копилот действует от имени пользователя, поэтому отправленное им письмо выглядит легитимным.
OWASP LLM06:2025 Excessive Agency, LLM01:2025 Prompt Injection · MITRE ATLAS AML.T0051 (LLM Prompt Injection), AML.T0048 (External Harms).
Защита SYNTREX:
- Движки:
goal_predictability,tool_abuse,capability_flow. goal_predictability— эвристический поведенческий движок: в рассуждениях/командах копилота выявляет многошаговые цепочки увода с штатной цели (напр. «прочитать секрет → отправить», «разведка → эксплойт»); такой goal-hijack паттерн помечается до исполнения.tool_abuseраспознаёт опасный вызов подключённого инструмента;capability_flowконтролирует поток возможностей, не давая внедрённой инструкции связать «чтение письма» с «отправкой данных наружу».
Что SYNTREX честно НЕ заменяет: принцип наименьших привилегий для подключённых инструментов и human-in-the-loop для меняющих состояние действий. Критичные операции (массовая рассылка, внешний шаринг) должны требовать подтверждения человека на уровне самого копилота. SYNTREX блокирует аномальное действие, но не подменяет узкие scope'ы инструментов и подтверждение пользователя.
4. Утечка системного промпта и данных другого пользователя (System Prompt / Cross-User Leakage)
Риск: Сконструированные промпты выманивают у копилота его скрытый системный промпт/конфигурацию (что облегчает последующие атаки) либо поднимают данные другого пользователя/тенанта через общий бэкенд-контекст. Канонический прецедент кросс-воркспейсной эксфильтрации — индиректная инъекция в Slack AI (кейс ATLAS AML.CS0035).
OWASP LLM07:2025 System Prompt Leakage, LLM02:2025 Sensitive Information Disclosure · MITRE ATLAS AML.T0051 (LLM Prompt Injection), AML.T0024 (Exfiltration via AI Inference API).
Защита SYNTREX:
- Движки:
output_scanner,injection,intent_revelation. injectionраспознаёт попытки выманить системный промпт;output_scannerинспектирует ответ на фрагменты промпта и служебной конфигурации и блокирует их.intent_revelationпомечает запросы, чья реальная цель — раскрытие внутренних инструкций или данных за пределами текущего пользователя.
5. Вредоносные приглашения в календарь и вложения как носители инъекции (Injection Carriers)
Риск: Нагрузка едет в теле приглашения на встречу, в описании .ics, во вложенном документе или в метаданных файла — контент, который копилот втягивает, суммируя «мой день» или «это вложение». Механизм тот же, что и в письме (риск №1), но носитель другой — и именно календарь/вложения часто упускают из виду по сравнению с телом письма.
OWASP LLM01:2025 Prompt Injection, LLM06:2025 Excessive Agency · MITRE ATLAS AML.T0051 (LLM Prompt Injection, индиректный поток).
Защита SYNTREX:
- Движки:
injection,dormant_payload,output_scanner. injectionинспектирует тело приглашений, описания.ics, содержимое вложений и метаданные файлов как недоверенный ввод — наравне с телом письма.dormant_payloadраспознаёт нагрузки, рассчитанные сработать при суммаризации;output_scannerперехватывает попытку действия по внедрённой инструкции.
6. Извлечение избыточно-доступных данных внутри копилота (Over-Permissioned Retrieval)
Риск: Поскольку копилот наследует (часто слишком широкие) права пользователя в тенанте и не применяет суждения, запрос «суммируй таблицу с зарплатами» поднимает файлы, которые пользователь технически может открыть, но видеть был не должен. Это «перешаринг», знакомый по RAG-развёртываниям, но в обличье копилота.
OWASP LLM02:2025 Sensitive Information Disclosure, LLM08:2025 Vector and Embedding Weaknesses · MITRE ATLAS AML.T0024 (Exfiltration via AI Inference API).
Защита SYNTREX:
- Движки/компоненты:
pii,exfiltration, Decision Logger. piiмаскирует чувствительные поля в поднятых документах;exfiltrationпомечает аномальный объём извлечения, характерный для «вычёрпывания» сверх роли.- Decision Logger фиксирует, какие файлы были подняты в ответ на запрос — основа для разбора несанкционированного доступа.
Граница ответственности: устранение пере-шаринга у источника (sensitivity-метки, ревизия прав до развёртывания копилота) — задача вашей платформы коллаборации. SYNTREX маскирует утечку и даёт аудит, но не подменяет наведение порядка в правах доступа. Архитектуру извлечения по стадиям разбирает Безопасность RAG-приложений как поверхности.
🛠️ Рекомендуемая конфигурация
Профиль для email/продуктивити-копилота — инспекция втянутого контента, контроль авто-действий и блокировка каналов эксфильтрации:
# syntrex.yaml — профиль email/продуктивити-копилота
version: "1.0"
mode: email_copilot
engines:
injection:
action: block # тело письма, документы, приглашения, .ics, метаданные
inspect_retrieved_content: true
normalize_unicode: true # скрытые инструкции и ASCII-смаглинг
confidence_threshold: 0.80
dormant_payload:
action: flag # нагрузки, срабатывающие при суммаризации
output_scanner:
action: block # авто-картинки, ссылки, Unicode-теги, фрагменты промпта
inspect_links: true
detect_unicode_smuggling: true
exfiltration:
action: block # приватные данные → внешний канал (EchoLeak-паттерн)
confidence_threshold: 0.90
secret_scanner: always_on # секреты не уходят в ссылке/вложении
goal_predictability:
action: block # поведенческая эвристика: многошаговые цепочки атак / увод с цели
tool_abuse:
action: block # опасный вызов подключённого инструмента
capability_flow:
action: block # связка «чтение письма» → «отправка наружу»
intent_revelation:
action: flag
pii:
action: redact
mask_character: "*"
audit:
decision_logger: true # неизменяемая цепочка решений (SHA-256/HMAC)
🚨 Правила корреляции (SOC)
Связки «инъекция в письме → эксфильтрация» и «инъекция → авто-действие» — ключевые индикаторы компрометации копилота:
{
"name": "COPILOT_ECHOLEAK_EXFIL_CHAIN",
"description": "Инъекция во входящем письме/документе, за которой следует выгрузка приватных данных через ссылку/картинку",
"condition": "sequence(injection[source='retrieved_content', confidence>0.7], output_scanner[match=true] OR exfiltration[confidence>0.8], 15s)",
"severity": "CRITICAL",
"playbook": "block_egress_and_alert_soc"
}
{
"name": "COPILOT_INJECTION_TO_AUTOACTION",
"description": "Инъекция во втянутом контенте, за которой следует авто-действие копилота (отправка, шаринг, правило)",
"condition": "sequence(injection[source='retrieved_content', confidence>0.7], goal_predictability[violation=true] OR tool_abuse[match=true], 20s)",
"severity": "CRITICAL",
"playbook": "block_action_and_require_human_approval"
}
❓ Частые вопросы (FAQ)
Почему косвенная инъекция через письмо — головной риск email-копилота?
Потому что копилот сам втягивает входящие, отвечая на несвязанный запрос, и доверяет им по умолчанию — атакующему достаточно прислать письмо, пользователю не нужно его открывать или кликать. Так работал EchoLeak. SYNTREX инспектирует тело письма и документы как недоверенный ввод движком injection с нормализацией Unicode, а output_scanner и exfiltration перехватывают попытку слить данные.
Что такое EchoLeak (CVE-2025-32711) и закрывает ли его SYNTREX?
EchoLeak — первый zero-click эксплойт против AI-агента: письмо вызывало «нарушение области», заставляя Microsoft 365 Copilot поднять приватные данные и слить их через авто-подгружаемую картинку/ссылку. Microsoft устранил конкретную уязвимость на стороне сервера. SYNTREX закрывает класс целиком на исходящем потоке: output_scanner блокирует авто-картинки, подозрительные ссылки и Unicode-смаглинг, а exfiltration ловит сам паттерн выгрузки.
Что такое ASCII-смаглинг в контексте копилота?
Это сокрытие эксфильтруемых данных внутри безобидной на вид гиперссылки с помощью невидимых Unicode-тегов: пользователь видит обычную ссылку, а в ней спрятаны украденные данные. SYNTREX инспектирует исходящий ответ движком output_scanner с детекцией Unicode-смаглинга и нормализует скрытые символы движком injection на входе.
Как не дать копилоту отправить письмо или расшарить файл по команде атакующего?
Внедрённая инструкция может заставить копилот использовать подключённые инструменты — отправку, шаринг, создание правил. SYNTREX эвристически выявляет многошаговые цепочки увода с цели (goal_predictability), ловит опасный вызов инструмента (tool_abuse) и разрывает связку «чтение письма → отправка наружу» (capability_flow). Но критичные операции должны дополнительно требовать подтверждения человека на уровне самого копилота — SYNTREX это не подменяет.
Может ли копилот показать данные другого пользователя или другого тенанта?
Да — через выманивание системного промпта или через общий бэкенд-контекст (канонический прецедент — индиректная инъекция в Slack AI, кейс ATLAS AML.CS0035). SYNTREX распознаёт попытки выманить промпт (injection), блокирует его фрагменты в ответе (output_scanner) и помечает запросы за пределы текущего пользователя (intent_revelation).
Опасны ли приглашения в календарь и вложения так же, как письма?
Да, и их часто упускают: нагрузка едет в теле приглашения, описании .ics, вложенном документе или метаданных файла — копилот втягивает их, суммируя «мой день» или «это вложение». SYNTREX инспектирует эти носители движком injection наравне с телом письма, а dormant_payload распознаёт нагрузки, рассчитанные сработать при суммаризации.
Что SYNTREX в email-копилоте НЕ заменяет? Принцип наименьших привилегий для подключённых инструментов, human-in-the-loop для меняющих состояние действий и устранение пере-шаринга у источника (sensitivity-метки, ревизия прав до развёртывания). SYNTREX инспектирует втянутый контент, блокирует каналы эксфильтрации и аномальные действия и даёт аудит — но узкие scope'ы инструментов, подтверждение пользователя и наведение порядка в правах остаются на стороне платформы. Архитектуру извлечения по стадиям разбирает Безопасность RAG-приложений как поверхности.
📚 Источники
- OWASP Top 10 для LLM-приложений (2025) — LLM01 Prompt Injection, LLM02 Sensitive Information Disclosure, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses.
- MITRE ATLAS — AML.T0051 (LLM Prompt Injection), AML.T0024 (Exfiltration via AI Inference API), AML.T0048 (External Harms), кейс AML.CS0035 (Data Exfiltration from Slack AI via Indirect Prompt Injection).
- EchoLeak (CVE-2025-32711) — Microsoft MSRC advisory — zero-click утечка данных через Microsoft 365 Copilot (первоисточник).
- Inside CVE-2025-32711 (EchoLeak): Prompt Injection meets AI Exfiltration (HackTheBox) — технический разбор LLM Scope Violation (цитата).
- Microsoft Copilot: от инъекции промпта к эксфильтрации через ASCII-смаглинг (Embrace The Red) — сокрытие данных в Unicode-тегах (цитата).
- Data Exfiltration from Slack AI via Indirect Prompt Injection (ATLAS AML.CS0035) — кросс-воркспейсная эксфильтрация (цитата).
- NIST AI Risk Management Framework (AI RMF 1.0) — управление рисками продуктивити-копилотов.
Внутренние материалы: OWASP Top 10 для LLM (2025) · Безопасность RAG-приложений как поверхности · Безопасность автономных AI-агентов · Безопасность MCP-серверов.