A Microsoft corrigiu silenciosamente uma vulnerabilidade classificada como máxima crítica em sua plataforma de IA M365 Copilot na terça-feira passada. A falha, descoberta pela empresa de segurança Aim Security, permitia que atacantes roubassem dados sensíveis, incluindo códigos de autenticação de dois fatores, de e-mails acessíveis ao Copilot usando apenas uma única mensagem cuidadosamente elaborada.
A vulnerabilidade, rastreada como CVE-2025-32711 e apelidada de “EchoLeak”, apresentou uma pontuação de severidade CVSS de 9,3 em 10.
Como o EchoLeak funcionava
O ataque exigiu zero cliques da vítima. Um atacante poderia enviar um e-mail malicioso que, quando processado pelo Copilot, enganaria a IA para extrair dados organizacionais: e-mails, documentos, históricos de bate-papo, tudo isso. A exploração de conceito demonstrada pela Aim Security mostrou roubo automático de dados disparado simplesmente ao Copilot resumir ou interagir com a mensagem envenenada.
O ataque contornou as defesas existentes da Microsoft, incluindo classificadores de injeção entre prompts e redações de links externos.
A Aim Security descobriu e divulgou responsavelmente a vulnerabilidade à Microsoft em janeiro de 2025. A Microsoft implementou correções no lado do servidor até maio de 2025, o que significa que nenhuma ação do cliente era necessária. A empresa confirmou que não tinha conhecimento de nenhum cliente afetado ou exploração maliciosa antes da aplicação do patch.
A divulgação pública da vulnerabilidade começou a surgir por volta de 11 a 12 de junho, com os pesquisadores revelando sua exploração de prova de conceito na segunda-feira.
Um padrão recorrente na segurança de IA
A arquitetura fundamental dos LLMs, que processam todo o texto em uma janela de contexto unificada, torna extremamente difícil impor um limite de segurança entre instruções confiáveis e dados não confiáveis. O Microsoft 365 Copilot integra modelos de linguagem de grande porte a fontes de dados empresariais por meio da Geração Aumentada por Recuperação (RAG), e a vulnerabilidade EchoLeak demonstrou como conteúdo controlado por atacantes na caixa de entrada de um usuário poderia manipular o Copilot para revelações não autorizadas sem nenhuma ação do usuário.
A natureza sem clique do ataque torna particularmente preocupante para ambientes corporativos. Organizações que implantaram o M365 Copilot em milhares de funcionários estiveram potencialmente expostas sem que qualquer usuário precisasse cometer um erro. A superfície de ataque era simplesmente “receber um e-mail”.
O que isso significa para cripto e Web3
A indústria de criptomoedas tem integrado rapidamente agentes de IA em sua infraestrutura. Agentes de IA on-chain, bots de negociação automatizados, interfaces de carteira impulsionadas por IA e integrações de modelos de linguagem de grande porte para protocolos DeFi estão se proliferando. Cada uma dessas implementações enfrenta o mesmo problema fundamental de injeção de prompt explorado pelo EchoLeak.
Se um agente de IA que gerencia transações on-chain for enganado para seguir instruções maliciosas incorporadas nos dados que processa, as consequências vão além da extração de dados para perdas financeiras diretas, incluindo a capacidade de mover fundos, assinar transações ou interagir com contratos inteligentes.
Na criptomoeda, onde o código é frequentemente de código aberto e as transações são irreversíveis, a janela entre a descoberta e a exploração tende a ser muito mais estreita do que em ambientes corporativos, onde a divulgação responsável e a correção rápida contiveram o impacto do EchoLeak.