Microsoft diam-diam memperbaiki kerentanan yang dinilai sangat kritis di platform AI M365 Copilot pada Selasa lalu. Kerentanan tersebut, yang ditemukan oleh perusahaan keamanan Aim Security, memungkinkan penyerang mencuri data sensitif, termasuk kode otentikasi dua faktor, dari email yang dapat diakses oleh Copilot hanya dengan menggunakan satu pesan yang dirancang secara hati-hati.
Kerentanan tersebut, dilacak sebagai CVE-2025-32711 dan dijuluki “EchoLeak,” memiliki skor tingkat keparahan CVSS 9,3 dari 10.
Bagaimana EchoLeak bekerja
Serangan ini memerlukan nol klik dari korban. Penyerang dapat mengirim email berbahaya yang, saat diproses oleh Copilot, akan menipu AI agar mengekstraksi data organisasi: email, dokumen, riwayat obrolan, semuanya. Eksploit bukti konsep yang ditunjukkan oleh Aim Security menunjukkan pencurian data otomatis yang dipicu hanya dengan Copilot merangkum atau berinteraksi dengan pesan yang telah diracuni.
Serangan tersebut melewati pertahanan yang sudah ada di Microsoft, termasuk klasifikasi injeksi cross-prompt dan penghapusan tautan eksternal.
Aim Security menemukan dan melaporkan kerentanan ini secara bertanggung jawab kepada Microsoft pada Januari 2025. Microsoft menerapkan perbaikan sisi server pada Mei 2025, sehingga tidak diperlukan tindakan dari pelanggan. Perusahaan tersebut memastikan tidak memiliki pengetahuan tentang pelanggan yang terdampak atau eksploitasi jahat sebelum patch diterapkan.
Pengungkapan publik kerentanan tersebut mulai muncul sekitar 11-12 Juni, dengan para peneliti mengungkapkan eksploit bukti-konsep mereka pada hari Senin.
Pola berulang dalam keamanan AI
Arsitektur mendasar dari LLM, yang memproses semua teks dalam jendela konteks terpadu, membuatnya sangat sulit untuk menegakkan batas keamanan antara instruksi tepercaya dan data tidak tepercaya. Microsoft 365 Copilot mengintegrasikan model bahasa besar dengan sumber data perusahaan melalui Retrieval-Augmented Generation (RAG), dan kerentanan EchoLeak menunjukkan bagaimana konten yang dikendalikan penyerang di kotak surat pengguna dapat memanipulasi Copilot untuk mengungkapkan informasi tanpa otorisasi tanpa tindakan pengguna apa pun.
Sifat serangan tanpa klik membuatnya sangat mengkhawatirkan untuk lingkungan perusahaan. Organisasi yang menerapkan M365 Copilot di ribuan karyawan berpotensi terpapar tanpa perlu ada satu pengguna pun yang membuat kesalahan. Permukaan serangan hanyalah “menerima email.”
Apa artinya ini bagi crypto dan Web3
Industri kripto telah dengan cepat mengintegrasikan agen AI ke dalam infrastruktur mereka. Agen AI on-chain, bot perdagangan otomatis, antarmuka dompet berbasis AI, dan integrasi model bahasa besar untuk protokol DeFi semakin marak. Setiap implementasi ini menghadapi masalah prompt injection fundamental yang sama yang dieksploitasi oleh EchoLeak.
Jika agen AI yang mengelola transaksi on-chain dapat ditipu untuk mengikuti instruksi jahat yang tertanam dalam data yang diprosesnya, konsekuensinya melampaui ekstraksi data ke kerugian finansial langsung, termasuk kemampuan untuk memindahkan dana, menandatangani transaksi, atau berinteraksi dengan kontrak pintar.
Dalam dunia kripto, di mana kode sering bersifat open source dan transaksi bersifat tak dapat dibatalkan, jendela antara penemuan dan eksploitasi cenderung jauh lebih sempit dibandingkan lingkungan perusahaan tempat pengungkapan bertanggung jawab dan perbaikan cepat membatasi dampak EchoLeak.