इस लेख में (3)
EchoLeak (CVE-2025-32711): ज़ीरो-क्लिक वल्नरेबिलिटी जो RAG-आधारित AI में एक बुनियादी खामी उजागर करती है
मुख्य बातें
- EchoLeak ने साबित किया कि प्रॉम्प्ट इंजेक्शन एक व्यावहारिक, गंभीर-स्तरीय खतरा है: एक एकल तैयार किया गया ईमेल बिना किसी उपयोगकर्ता इंटरैक्शन के Microsoft 365 Copilot से कॉर्पोरेट डेटा को चुपचाप बाहर निकाल सकता था।
- Microsoft का मई 2026 का सर्वर-साइड पैच विशिष्ट Copilot एक्सप्लॉइट को ठीक करता है, लेकिन अंतर्निहित RAG आर्किटेक्चर जोखिम किसी भी ऐसे AI असिस्टेंट में बना रहता है जो अविश्वसनीय सामग्री को पुनः प्राप्त करके उस पर कार्य करता है।
- रक्षकों और निर्माताओं को न्यूनतम-विशेषाधिकार अनुमतियाँ, प्रोवेनेंस-आधारित एक्सेस कंट्रोल और प्रतिकूल सामग्री परीक्षण हर RAG-आधारित AI तैनाती पर लागू करना चाहिए, न कि केवल पैच किए गए पर।
Patch Tuesday · Jun 19, 2026माइक्रोसॉफ्ट ने मई 2026 में Copilot की EchoLeak खामी को ठीक कर दिया, लेकिन इसके पीछे जो prompt-injection तंत्र था, वह एक आर्किटेक्चरल समस्या है — और यह आपके द्वारा तैनात किए गए हर RAG-आधारित AI असिस्टेंट में मौजूद है।
माइक्रोसॉफ्ट ने मई 2026 में Copilot की EchoLeak खामी को ठीक कर दिया, लेकिन जिस प्रॉम्प्ट-इंजेक्शन तंत्र का इसने फायदा उठाया, वह आर्किटेक्चरल है — और आपके द्वारा तैनात किए गए हर RAG-आधारित AI असिस्टेंट में मौजूद है।
कल्पना कीजिए कि आपको एक ऐसा ईमेल मिला जिसे आपने कभी खोला ही नहीं। न कोई अटैचमेंट क्लिक किया, न कोई लिंक फॉलो किया। ईमेल बस आपके इनबॉक्स में आया, और पर्दे के पीछे कहीं आपके AI असिस्टेंट ने चुपचाप उसे पढ़ा, उसके निर्देश अपना लिए, और आपके संगठन का संवेदनशील डेटा किसी बाहरी सर्वर पर भेजना शुरू कर दिया। न कोई प्रॉम्प्ट, न कोई चेतावनी, न यूज़र इंटरेक्शन का कोई निशान। यह कोई काल्पनिक परिदृश्य नहीं है: यह ठीक वही है जो Aim Labs के शोधकर्ताओं ने जनवरी 2025 में दर्ज किया, जब उन्होंने CVE-2025-32711 की खोज की — वह कमज़ोरी जिसे अब EchoLeak के नाम से जाना जाता है।
EchoLeak ने असल में क्या किया (और कैसे)
arXiv पर प्रकाशित अकादमिक केस स्टडी के अनुसार, EchoLeak किसी प्रोडक्शन लार्ज लैंग्वेज मॉडल सिस्टम में पहला पुष्टि किया गया ज़ीरो-क्लिक प्रॉम्प्ट इंजेक्शन एक्सप्लॉइट है। यह कमज़ोरी Microsoft 365 Copilot के अंदर मौजूद थी — वह AI असिस्टेंट जो Retrieval Augmented Generation (RAG) आर्किटेक्चर के ज़रिए यूज़र के ईमेल, फाइलों और कैलेंडर से संदर्भ खींचता है। RAG वह डिज़ाइन पैटर्न है जिसमें मॉडल सवालों के जवाब देने के लिए आपके वातावरण से लाइव डेटा फेच करता है — सिद्धांत में उपयोगी, लेकिन व्यवहार में खतरनाक जब वह फेच किया गया डेटा ऐसे निर्देश रख सकता हो जिनका मॉडल पालन करे।
arXiv पेपर में विस्तार से बताए गए अटैक चेन ने चार अलग-अलग bypasses को क्रम में जोड़कर काम किया। पहला, दुर्भावनापूर्ण पेलोड ने Microsoft के XPIA (Cross Prompt Injection Attempt) क्लासिफायर को चकमा दिया — वही डिफेंस जो इस श्रेणी के खतरों को पकड़ने के लिए बनाया गया था। दूसरा, इसने reference-style Markdown फॉर्मेटिंग का उपयोग करके लिंक रिडैक्शन को दरकिनार किया — एक सिंटेक्टिक ट्रिक जिसे सैनिटाइज़र पकड़ नहीं पाया। तीसरा, इसने Copilot के इमेज ऑटो-फेचिंग व्यवहार का फायदा उठाया, जिससे मॉडल ने एक आउटबाउंड रिक्वेस्ट भेजी जिसमें एक्सफिल्ट्रेटेड डेटा था। चौथा, इसने एक Microsoft Teams प्रॉक्सी का दुरुपयोग किया जिसे content security policy द्वारा अनुमति दी गई थी, जिससे एक्सफिल्ट्रेशन चैनल को एक विश्वसनीय दिखने वाला एग्ज़िट पॉइंट मिल गया। पेपर के अनुसार, परिणाम था — बिना किसी यूज़र इंटरेक्शन के LLM ट्रस्ट बाउंड्रीज़ पार करते हुए पूर्ण privilege escalation।
BleepingComputer ने रिपोर्ट किया कि Aim Labs ने अपने निष्कर्ष Microsoft को बताए, जिसने CVE-2025-32711 पहचानकर्ता असाइन किया और इस खामी को critical रेट किया। Microsoft ने मई 2026 में एक सर्वर-साइड पैच जारी किया, यानी फिक्स पाने के लिए किसी यूज़र एक्शन की ज़रूरत नहीं थी। BleepingComputer के अनुसार Microsoft ने यह भी नोट किया कि वास्तविक दुनिया में इसके शोषण का कोई प्रमाण नहीं है।
वह हिस्सा जिसे पैच ठीक नहीं करता
यहीं से यह कहानी एक सामान्य "पैच लगाया, संकट टला" कथा से अधिक दिलचस्प हो जाती है। Rescana के CVE विश्लेषण के अनुसार, जबकि Microsoft के सर्वर-साइड समाधान ने Copilot में उस विशेष exploit path को ठीक किया, RAG-आधारित AI असिस्टेंट चलाने वाले किसी भी संगठन के लिए जोखिम की मूल श्रेणी बनी रहती है।
EchoLeak ने जिस मैकेनिज़्म का फायदा उठाया — विशेष रूप से prompt injection और context inheritance का संयोजन — वह कोई बग नहीं है जिसे Microsoft ने लापरवाही से एक उत्पाद में डाला। यह इस बात का परिणाम है कि RAG सिस्टम कैसे काम करने के लिए डिज़ाइन किए जाते हैं: वे जो कंटेंट रिट्रीव करते हैं उस पर भरोसा करने के लिए बने होते हैं, क्योंकि वह कंटेंट उपयोगी संदर्भ माना जाता है। जब बाहरी कंटेंट में विरोधी निर्देश हो सकते हैं, तो वह भरोसा एक अटैक सर्फेस बन जाता है।
Hack The Box के vulnerability breakdown में मूल समस्या स्पष्ट रूप से बताई गई है: Copilot को उन दस्तावेज़ों और ईमेल की सामग्री पर प्रतिक्रिया देने की अनुमति है जिन्हें वह रिट्रीव करता है, और उस संदर्भ में डिलीवर किया गया कोई दुर्भावनापूर्ण दस्तावेज़ वैध इनपुट के रूप में माना जाता है। मॉडल के पास "वह डेटा जिसे मुझसे सारांशित करने को कहा गया" और "वे निर्देश जिनका मुझे पालन करने को कहा गया" के बीच विश्वसनीय रूप से अंतर करने का कोई तरीका नहीं है। यही प्रॉम्प्ट इंजेक्शन की समस्या है, और यह किसी भी विशेष CVE से वर्षों पहले से अकादमिक चेतावनियों में मौजूद है।
arXiv पेपर व्यापक सबक सीधे बताता है: शोधकर्ता इंजीनियरिंग mitigations की रूपरेखा बताते हैं जिनमें prompt partitioning, बेहतर इनपुट और आउटपुट फ़िल्टरिंग, provenance-based access control और सख्त content security policies शामिल हैं। ये किसी एक उत्पाद के पैच नहीं हैं; ये उन सभी के लिए डिज़ाइन सिद्धांत हैं जो वास्तविक संगठनात्मक डेटा को छूने वाला AI असिस्टेंट बना या तैनात कर रहे हैं। पेपर स्पष्ट रूप से prompt injection को प्रोडक्शन AI सिस्टम में एक व्यावहारिक, उच्च-गंभीरता वाली vulnerability class के रूप में framing करता है — कोई सैद्धांतिक जिज्ञासा नहीं।
AI टूल्स बनाने या उपयोग करने वाले किसी के लिए इसका क्या मतलब है
Checkmarx ने EchoLeak को इस बात के सबूत के रूप में framing किया कि AI सुरक्षा वास्तव में उन तरीकों से चुनौतीपूर्ण है जो पारंपरिक सॉफ़्टवेयर सुरक्षा से अलग हैं। समस्या केवल यह नहीं है कि किसी विशेष implementation में एक बग था। समस्या यह है कि AI असिस्टेंट को उपयोगी बनने के लिए जिस trust model की ज़रूरत होती है, वह सुरक्षित रहने के लिए security द्वारा आवश्यक trust model के साथ संरचनात्मक रूप से तनाव में है। हर RAG deployment जो अविश्वसनीय कंटेंट फेच करती है और उसे LLM को पास करती है, इस सर्फेस का कोई न कोई संस्करण साझा करती है।
Trend Micro के vulnerability विश्लेषण में निवारक पहलू पर ज़ोर दिया गया है: संगठन यह ऑडिट करके एक्सपोज़र कम कर सकते हैं कि उनके AI असिस्टेंट को किन डेटा स्रोतों तक पहुंचने की अनुमति है, AI एजेंट permissions पर least privilege का सिद्धांत लागू करके, anomalous retrieval patterns के लिए Copilot आउटपुट की निगरानी करके, और AI-readable दस्तावेज़ों को उसी संदेह के साथ treat करके जो executable अटैचमेंट पर लागू होता है। ये सीखने और लागू करने योग्य प्रैक्टिस हैं — कोई विदेशी countermeasures नहीं।
सीखने वालों और बनाने वालों के लिए, EchoLeak वास्तव में शिक्षाप्रद है क्योंकि यह दर्शाता है कि AI सिस्टम को सुरक्षित करने के लिए मॉडल की trust boundaries के बारे में सोचना ज़रूरी है — न केवल उसके perimeter के बारे में। फ़ायरवॉल तब काम नहीं आता जब खतरा context window के अंदर हो। Microsoft ने मई 2026 में जो पैच deploy किया, वह एक विशेष दरवाज़ा बंद करता है। यह समझना कि वह दरवाज़ा पहली जगह क्यों था — यही आपको अगले दरवाज़े के लिए तैयार करता है।
Prompt injection एक vulnerability class के रूप में वहां प्रकट होगी जहां भी AI असिस्टेंट को संगठनात्मक डेटा तक पहुंच दी जाती है, और उस प्रकार की deployment केवल बढ़ रही है। आपके द्वारा अपनाए गए किसी भी RAG-आधारित टूल से पूछने का सही सवाल यह नहीं है कि क्या उसे पैच किया गया है, बल्कि यह है कि क्या इसे adversarial content को ध्यान में रखकर आर्किटेक्ट किया गया है।