Microsoft đã lặng lẽ vá một lỗ hổng được đánh giá là cực kỳ nghiêm trọng trên nền tảng AI M365 Copilot vào thứ Ba tuần trước. Lỗ hổng này, được phát hiện bởi công ty bảo mật Aim Security, cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, bao gồm cả mã xác thực hai yếu tố, từ các email có thể truy cập bởi Copilot chỉ bằng một tin nhắn được tạo cẩn thận.
Lỗ hổng này, được theo dõi dưới mã CVE-2025-32711 và đặt tên là “EchoLeak”, có điểm độ nghiêm trọng CVSS là 9,3 trên 10.
EchoLeak hoạt động như thế nào
Cuộc tấn công không yêu cầu người dùng phải nhấp vào bất kỳ liên kết nào. Một kẻ tấn công có thể gửi một email độc hại, khi Copilot xử lý email này, sẽ lừa AI tiết lộ dữ liệu tổ chức: email, tài liệu, lịch sử trò chuyện, và nhiều hơn nữa. Vụ khai thác chứng minh khái niệm do Aim Security trình bày cho thấy việc đánh cắp dữ liệu tự động được kích hoạt chỉ bằng việc Copilot tóm tắt hoặc tương tác với tin nhắn đã bị nhiễm độc.
Cuộc tấn công đã vượt qua các biện pháp phòng thủ hiện có của Microsoft, bao gồm các bộ phân loại tiêm chéo prompt và việc xóa liên kết bên ngoài.
Aim Security đã phát hiện và báo cáo có trách nhiệm lỗ hổng này cho Microsoft vào tháng 1 năm 2025. Microsoft đã triển khai các bản sửa lỗi phía máy chủ vào tháng 5 năm 2025, nghĩa là không cần hành động nào từ khách hàng. Công ty xác nhận rằng họ không có bất kỳ thông tin nào về khách hàng bị ảnh hưởng hoặc việc khai thác độc hại trước khi bản vá được áp dụng.
Việc công khai lỗ hổng bắt đầu xuất hiện vào khoảng ngày 11-12 tháng Sáu, khi các nhà nghiên cứu tiết lộ exploit chứng minh khái niệm của họ vào thứ Hai.
Một mô hình lặp lại trong bảo mật AI
Kiến trúc nền tảng của các mô hình ngôn ngữ lớn (LLM), vốn xử lý toàn bộ văn bản trong một cửa sổ ngữ cảnh duy nhất, khiến việc thiết lập ranh giới bảo mật giữa các hướng dẫn đáng tin cậy và dữ liệu không đáng tin cậy trở nên cực kỳ khó khăn. Microsoft 365 Copilot tích hợp các mô hình ngôn ngữ lớn với các nguồn dữ liệu doanh nghiệp thông qua Tạo có tăng cường truy xuất (RAG), và lỗ hổng EchoLeak đã chứng minh cách nội dung do kẻ tấn công kiểm soát trong hộp thư của người dùng có thể thao túng Copilot để tiết lộ thông tin không được phép mà không cần bất kỳ hành động nào từ người dùng.
Tính chất không cần nhấp của cuộc tấn công khiến nó đặc biệt đáng lo ngại trong các môi trường doanh nghiệp. Các tổ chức triển khai M365 Copilot cho hàng nghìn nhân viên đã có thể bị phơi nhiễm mà không cần bất kỳ người dùng nào phải mắc sai lầm. Bề mặt tấn công đơn giản chỉ là “nhận email”.
Điều này có nghĩa gì đối với tiền điện tử và Web3
Ngành công nghiệp tiền điện tử đang tích hợp nhanh chóng các tác nhân AI vào hạ tầng của mình. Các tác nhân AI trên chuỗi, bot giao dịch tự động, giao diện ví được hỗ trợ bởi AI và các tích hợp mô hình ngôn ngữ lớn cho các giao thức DeFi đang ngày càng phổ biến. Mỗi một trong những triển khai này đều đối mặt với cùng vấn đề cơ bản về tiêm prompt mà EchoLeak đã khai thác.
Nếu một tác nhân AI quản lý các giao dịch trên chuỗi bị lừa để thực hiện các lệnh độc hại được nhúng trong dữ liệu nó xử lý, hậu quả không chỉ dừng lại ở việc đánh cắp dữ liệu mà còn dẫn đến tổn thất tài chính trực tiếp, bao gồm khả năng di chuyển tiền, ký giao dịch hoặc tương tác với hợp đồng thông minh.
Trong lĩnh vực tiền mã hóa, nơi mã nguồn thường là mã mở và các giao dịch là không thể hoàn tác, khoảng thời gian giữa phát hiện và khai thác thường hẹp hơn nhiều so với môi trường doanh nghiệp, nơi việc tiết lộ có trách nhiệm và vá lỗi nhanh chóng đã hạn chế tác động của EchoLeak.