Cần lưu ý Microsoft 365 Copilot là AI được tích hợp trong Microsoft 365, khác với Microsoft Copilot mặc định trên máy tính Windows 11. Microsoft 365 Copilot sẽ có thể truy xuất các file của Microsoft 365, chẳng hạn như văn bản bạn đã tạo với Word, Excel, PowerPoint và nếu dùng trong môi trường doanh nghiệp thì nó còn có thể truy xuất nhiều thứ hơn (tùy theo điều kiện và phân quyền được thiết lập) chẳng hạn như các file trên SharePoint, email Outlook, tin nhắn và nội dung trong Microsoft Teams …

Với thủ pháp zero-click kẻ tấn công chỉ cần gởi một email tưởng chừng như vô hại nhưng có chứa các chỉ thị có ý nghĩa đối với Copilot. Khi Copilot quét các email của người dùng, nó sẽ đọc email và phát hiện các prompt này. Sau đó Copilot sẽ làm theo prompt, đào sâu vào các file nội bộ và lấy dữ liệu nhạy cảm trong email, file Excel hay từ các cuộc trò chuyện trong Teams. Cuối cùng Copilot sẽ ẩn nguồn tạo prompt nên người dùng sẽ không lần ra được điều gì xảy ra. Không cần lừa nhấp vào link hay tải về file có malware, chỉ một email khiến Copilot bị thao túng.

Phản ứng của Microsoft và lời kêu gọi “thức tỉnh”

Aim Security cho biết sau khi phát hiện ra lỗ hổng vào tháng 1, công ty đã liên hệ với trung tâm ứng phó bảo mật của Microsoft – bộ phận điều tra tất cả các báo cáo về lỗ hổng bảo mật ảnh hưởng đến các sản phẩm và dịch vụ của Microsoft. Gruss cho biết: “Họ (Microsoft) muốn khách hàng của họ an toàn. Họ nói với chúng tôi rằng những phát hiện của chúng tôi cực kỳ đột phá”.

Tuy nhiên, Microsoft đã phải mất 5 tháng để vá lỗ hổng. Một trong những lý do là lỗ hổng này rất mới và phải mất thời gian để Microsoft cử các đội chuyên trách để tham gia vào quá trình sửa lỗi, học về lỗ hổng và giảm thiểu tác động. Gruss nói Microsoft ban đầu đã cố gắng sửa lỗi hồi tháng 4 nhưng đến tháng 5, công ty lại phát hiện thêm các vấn đề bảo mật xoay quanh lỗ hổng này. AI quá khó đoán và bề mặt tấn công quá lớn.

Microsoft khẳng định đã khắc phục lỗ hổng từ máy chủ, bản vá được triển khai tự động. Người dùng không bị ảnh hưởng và không có bằng chứng cho thấy EchoLeak bị khai thác để tấn công trước khi lỗ hổng được vá.

Aim Security đã quyết định đợi đến khi Microsoft sửa hoàn toàn lỗ hổng mới công bố nghiên cứu của mình về EchoLeak với hy vọng rằng các công ty sở hữu sản phẩm AI khác sẽ “thức tỉnh” bởi biết đâu sản phẩm của họ cũng có lỗ hổng tương tự. Gruss cho biết mối lo ngại lớn nhất là lỗ hổng EchoLeak có thể áp dụng cho các tác nhân khác, từ giao thức ngữ cảnh mô hình (MCP) của Anthropic giúp kết nối các trợ lý AI với các ứng dụng khác cho đến các nền tảng như Agentforce của Salesforce.