Nilutas nang tahimik ng Microsoft ang isang vulnerability na inangkat bilang maximum critical sa kanyang M365 Copilot AI platform noong nakaraang Martes. Ang kamalian, na natuklasan ng security firm na Aim Security, ay nagbigay-daan sa mga attacker na makuha ang sensitibong data, kabilang ang mga code ng two-factor authentication, mula sa mga email na accessible sa Copilot gamit ang isang mag-isa nang maingat na nilikhang mensahe.
Ang vulnerability, na tinatawag na CVE-2025-32711 at kilala bilang “EchoLeak,” ay may CVSS severity score na 9.3 sa 10.
Paano gumana ang EchoLeak
Kailangan ng zero clicks mula sa biktima ang pag-atake. Maaaring ipadala ng attacker ang isang masamang email na, kapag pinroseso ng Copilot, ay magpapakilala sa AI upang ma-exfiltrate ang organisasyonal na data: mga email, dokumento, mga kasaysayan ng chat, lahat ng ito. Ipakita ng proof-of-concept exploit na ipinakita ng Aim Security ang awtomatikong pagkawala ng data na nag-trigger lamang sa pamamagitan ng pag-summarize o pag-interact ng Copilot sa nasirang mensahe.
Lumagpas ang pag-atake sa mga umiiral na depensa ng Microsoft, kabilang ang mga classifier ng cross-prompt injection at mga pagtatanggal ng panlabas na link.
Nakita at ipinahayag nang may responsibilidad ng Aim Security ang vulnerability sa Microsoft noong Enero 2025. Ipinatupad ng Microsoft ang mga pagpapabuti sa server side hanggang Mayo 2025, kaya walang kailangang gawin ng mga customer. Kumpirmado ng kumpanya na walang kaalaman sila sa anumang apektadong customer o masamang paggamit bago ma-apply ang patch.
Ang pampublikong paglalathala ng vulnerability ay nagsimula na lumabas noong June 11-12, habang ipinakita ng mga researcher ang kanilang proof-of-concept exploit noong Lunes.
Isang paulit-ulit na pattern sa seguridad ng AI
Ang pangunahang arkitektura ng LLM, na nagpaproseso ng lahat ng teksto sa isang pinagsamang context window, ay nagiging lubos na mahirap ipatupad ang isang security boundary sa pagitan ng matatag na mga utos at hindi matatag na data. Ang Microsoft 365 Copilot ay nag-iintegrate ng malalaking language models sa mga pinagkukunan ng enterprise sa pamamagitan ng Retrieval-Augmented Generation (RAG), at ipinakita ng vulnerability na EchoLeak kung paano maaaring manipulahin ng nilalaman na kontrolado ng attacker sa mailbox ng user ang Copilot upang magawa ang hindi awtorisadong paglalabas nang walang anumang aksyon mula sa user.
Ang walang pag-click na kalikasan ng pag-atake ay nagiging lalong malala sa mga enterprise environment. Ang mga organisasyon na nag-deploy ng M365 Copilot sa libu-libong empleyado ay potensyal na naka-expose nang walang kailangang magkamali ang anumang user. Ang attack surface ay simpleng “pagtatanggap ng email.”
Ano ang ibig sabihin nito para sa crypto at Web3
Ang industriya ng crypto ay mabilis na nagpapaloob ng AI agents sa kanilang imprastruktura. Ang mga on-chain AI agents, automated trading bots, AI-powered wallet interfaces, at mga integrasyon ng large language model para sa DeFi protocols ay lumalaganap. Lahat ng mga implementasyong ito ay nagtatagpo sa parehong pangunahing problema ng prompt injection na pinagamit ni EchoLeak.
Kung ang isang AI agent na nagpapatakbo ng on-chain transactions ay maaaring ipagtrapon upang sundin ang masasamang utos na nakapaloob sa data na ito ay pinaproseso, ang mga epekto ay lumalampas sa pagkuha ng data patungo sa direkta na pananalapi, kabilang ang kakayahang ilipat ang pera, lagdaan ang mga transaksyon, o makipag-ugnayan sa smart contract.
Sa crypto, kung saan ang code ay madalas ay open source at ang mga transaksyon ay hindi maaaring ibalik, ang panahon sa pagitan ng pagkakatuklas at pagpapahalili ay mas maliit kaysa sa mga enterprise environment kung saan ang responsible disclosure at mabilis na pagpapalit ang nagkontrol sa epekto ng EchoLeak.