EchoLeak: primeira vulnerabilidade de IA expõe dados sem clique
Pesquisadores descobrem EchoLeak, primeira vulnerabilidade zero-click em IA que permite roubo de dados no Microsoft 365 Copilot através de emails maliciosos
Pesquisadores da Aim Labs descobriram a primeira vulnerabilidade de inteligência artificial do tipo “zero-click” conhecida, batizada de EchoLeak, que permite que atacantes roubem dados sensíveis do Microsoft 365 Copilot sem qualquer interação do usuário. A falha representa um novo tipo de ameaça para sistemas corporativos que usam IA.
Como funciona o ataque EchoLeak
O ataque começa com um email malicioso enviado ao alvo, contendo texto aparentemente não relacionado ao Copilot e formatado para parecer um documento comercial típico. O email incorpora uma instrução maliciosa oculta, projetada para instruir o modelo de linguagem a extrair e vazar dados internos sensíveis.
A instrução maliciosa é formulada como uma mensagem normal para humanos, conseguindo enganar os sistemas de proteção XPIA (cross-prompt injection attack) da Microsoft. Posteriormente, quando o usuário faz uma pergunta relacionada ao negócio para o Copilot, o email é recuperado no contexto do modelo pela engine RAG (Retrieval-Augmented Generation) devido à sua formatação e aparente relevância.
A instrução maliciosa então “engana” o modelo, fazendo-o extrair dados internos sensíveis e inseri-los em um link ou imagem criados especificamente para isso. Os pesquisadores descobriram que alguns formatos de imagem em markdown fazem com que o navegador solicite a imagem automaticamente, enviando a URL com os dados incorporados para o servidor do atacante.
Gravidade e correção da vulnerabilidade
A Microsoft atribuiu o identificador CVE-2025-32711 à falha de divulgação de informações, classificando-a como crítica. A empresa corrigiu o problema do lado do servidor em maio de 2025, não sendo necessária nenhuma ação por parte dos usuários. A Microsoft também confirmou que não há evidências de exploração maliciosa no mundo real.
O EchoLeak demonstra uma nova classe de vulnerabilidades chamada “Violação de Escopo LLM”, que faz com que um modelo de linguagem grande vaze dados internos privilegiados sem intenção ou interação do usuário. Como o ataque não requer interação com a vítima, pode ser automatizado para realizar exfiltração silenciosa de dados em ambientes corporativos.
Impacto nos sistemas corporativos
O Microsoft 365 Copilot é um assistente de IA integrado a aplicativos do Office como Word, Excel, Outlook e Teams, que usa modelos GPT da OpenAI e o Microsoft Graph para ajudar usuários a gerar conteúdo, analisar dados e responder perguntas baseadas em arquivos internos, emails e chats da organização.
A descoberta do EchoLeak destaca como as vulnerabilidades de IA podem ser perigosas quando implementadas em sistemas integrados. A crescente complexidade e integração mais profunda de aplicações LLM em fluxos de trabalho corporativos já estão sobrecarregando as defesas tradicionais, criando novas falhas que adversários podem explorar silenciosamente.
Medidas de proteção recomendadas
Para empresas que usam sistemas de IA similar, os especialistas recomendam fortalecer os filtros de injeção de prompt, implementar escopo granular de entrada e aplicar filtros de pós-processamento na saída do modelo para bloquear respostas contendo links externos ou dados estruturados.
Os engines RAG também podem ser configurados para excluir comunicações externas, evitando a recuperação de prompts maliciosos desde o início. Embora a Microsoft tenha bloqueado a maioria dos domínios externos através do CSP, URLs do Microsoft Teams e SharePoint são confiáveis, podendo ser abusadas para exfiltrar dados.
Tendências futuras de segurança
A descoberta do EchoLeak marca o início de uma nova era de ameaças cibernéticas focadas em inteligência artificial. À medida que mais empresas integram IA em seus processos, especialistas preveem o surgimento de novas técnicas de ataque direcionadas especificamente para esses sistemas.
A tendência indica que as organizações precisarão desenvolver estratégias de segurança específicas para IA, complementando as medidas tradicionais de cibersegurança com proteções adequadas aos riscos únicos dos modelos de linguagem integrados aos ambientes corporativos.
Com informações do BleepingComputer e Aim Labs
