Microsoft secara diam-diam memperbaiki satu kerentanan yang dinilai sangat kritikal di platform AI M365 Copilot pada hari Selasa lepas. Kelemahan tersebut, yang ditemui oleh firma keselamatan Aim Security, membolehkan penyerang mencuri data sensitif, termasuk kod autentikasi dua faktor, daripada e-mel yang boleh diakses oleh Copilot hanya dengan menggunakan satu mesej yang dirancang dengan teliti.
Kerentanan ini, dilacak sebagai CVE-2025-32711 dan diberi nama “EchoLeak”, membawa skor keseriusan CVSS sebanyak 9.3 daripada 10.
Bagaimana EchoLeak berfungsi
Serangan ini memerlukan tiada klik daripada mangsa. Seorang penyerang boleh menghantar e-mel jahat yang, apabila diproses oleh Copilot, akan menipu AI supaya mencuri data organisasi: e-mel, dokumen, sejarah perbualan, dan sebagainya. Eksploit bukti konsep yang dipertunjukkan oleh Aim Security menunjukkan pencurian data automatik yang dipicu semata-mata apabila Copilot merumuskan atau berinteraksi dengan mesej yang diracuni.
Serangan itu melintasi pertahanan sedia ada Microsoft, termasuk klasifier injeksi lintas-prompt dan penghapusan pautan luar.
Aim Security menemui dan melaporkan kerentanan ini secara bertanggungjawab kepada Microsoft pada Januari 2025. Microsoft telah menghantar pembaikan di sisi pelayan pada Mei 2025, bermakna tiada tindakan diperlukan daripada pelanggan. Syarikat tersebut mengesahkan bahawa ia tidak mempunyai kesedaran terhadap sebarang pelanggan yang terjejas atau eksploitasi jahat sebelum pembaikan dipasang.
Pengungkapan awam terhadap kerentanan itu bermula sekitar 11-12 Jun, dengan penyelidik mengungkap eksploit bukti-ke-konsep mereka pada hari Isnin.
Pola berulang dalam keselamatan AI
Arsitektur asas LLM, yang memproses semua teks dalam tetingkap konteks yang seragam, menjadikannya sangat sukar untuk menegakkan sempadan keselamatan antara arahan yang dipercayai dan data yang tidak dipercayai. Microsoft 365 Copilot mengintegrasikan model bahasa besar dengan sumber data perusahaan melalui Retrieval-Augmented Generation (RAG), dan kerentanan EchoLeak menunjukkan bagaimana kandungan yang dikendalikan penyerang dalam kotak surat pengguna boleh memanipulasi Copilot untuk membuat pengungkapan tanpa kebenaran tanpa sebarang tindakan pengguna.
Sifat serangan tanpa klik menjadikannya sangat mengkhawatirkan dalam persekitaran perusahaan. Organisasi yang melaksanakan M365 Copilot kepada ribuan pekerja berpotensi terdedah tanpa memerlukan sebarang kesilapan daripada pengguna individu. Permukaan serangan adalah sekadar “menerima e-mel.”
Apakah maksud ini terhadap kripto dan Web3
Industri kripto telah mengintegrasikan agen AI ke dalam infrastruktur mereka dengan cepat. Agen AI di atas rantai, bot dagangan automatik, antaramuka dompet berasaskan AI, dan integrasi model bahasa besar untuk protokol DeFi semakin meluas. Setiap implementasi ini menghadapi masalah suntikan prompt asas yang sama yang dieksploitasi oleh EchoLeak.
Jika agen AI yang mengurus transaksi atas rantai boleh ditipu untuk mengikuti arahan jahat yang tertanam dalam data yang diprosesnya, akibatnya melampaui pencurian data kepada kerugian kewangan langsung, termasuk keupayaan untuk memindahkan dana, menandatangani transaksi, atau berinteraksi dengan kontrak pintar.
Dalam kripto, di mana kod sering bersumber terbuka dan transaksi tidak boleh dibatalkan, jendela antara penemuan dan eksploitasi cenderung jauh lebih sempit berbanding persekitaran perusahaan di mana pengungkapan bertanggungjawab dan pembaikan pantas mengawal kesan EchoLeak.