Microsoft vá lỗ hổng zero-click nguy hiểm trong Copilot

Một lỗ hổng kiểu zero-click vừa được phát hiện trong Microsoft 365 Copilot, cho phép kẻ tấn công đánh cắp dữ liệu mà người dùng không cần bấm hay tương tác gì. Dù lỗi đã được vá, nó vẫn là lời cảnh báo quan trọng về rủi ro bảo mật từ trí tuệ nhân tạo tích hợp sâu trong môi trường làm việc số.

Zero-click, Microsoft 365 Copilot, EchoLeak, rò rỉ dữ liệu, lỗ hổng AI

Các nhà nghiên cứu bảo mật tại Aim Labs vừa phát hiện ra EchoLeak – một lỗ hổng zero-click đầu tiên từng ghi nhận trong các hệ thống dùng trí tuệ nhân tạo. Với lỗi này, kẻ tấn công có thể khiến Microsoft 365 Copilot tự động rò rỉ dữ liệu nhạy cảm của người dùng mà không cần bất kỳ thao tác nào từ phía nạn nhân.

Lỗi được phát hiện vào tháng 1/2025, được Microsoft xác nhận với mã số CVE-2025-32711 và đánh giá mức độ nghiêm trọng. Đến tháng 5, Microsoft đã âm thầm vá lỗi trên máy chủ, không cần người dùng cập nhật thủ công. Hãng cũng khẳng định chưa có bằng chứng cho thấy lỗi từng bị khai thác thực tế.

EchoLeak hoạt động thế nào?

Cuộc tấn công bắt đầu bằng một email nhìn qua rất bình thường, nội dung như tài liệu công việc thông thường. Nhưng ẩn bên trong là một đoạn mã dạng prompt injection – tức câu lệnh bí mật gửi đến hệ thống AI Copilot.

Vì đoạn mã được viết như một câu nhắn tự nhiên, nó vượt qua được các công cụ phát hiện của Microsoft. Khi người dùng sử dụng Copilot để hỏi một câu liên quan, hệ thống sẽ gọi lại nội dung email này để xử lý, nhờ công nghệ RAG (Retrieval-Augmented Generation).

Lúc này, Copilot bị đánh lừa để lấy thông tin nội bộ và chèn vào một đường link hoặc hình ảnh được mã hóa sẵn. Khi hình ảnh được hiển thị, trình duyệt sẽ tự động gửi dữ liệu ẩn tới máy chủ của kẻ tấn công, mà người dùng không hề hay biết – đúng nghĩa zero-click.

Đặc biệt, dù Microsoft chặn đa phần các trang ngoài, nhưng các đường dẫn thuộc Teams hoặc SharePoint vẫn được tin tưởng, và có thể bị lợi dụng để chuyển dữ liệu ra ngoài.

Zero-click, Microsoft 365 Copilot, EchoLeak, rò rỉ dữ liệu, lỗ hổng AI

Vì sao đây là lỗ hổng đáng lo?

Dù chưa bị khai thác trong thực tế, EchoLeak cho thấy một kiểu rò rỉ dữ liệu hoàn toàn mới, nơi AI tự làm rò rỉ thông tin mà không cần người dùng ra lệnh. Trong bối cảnh AI như Copilot đang được sử dụng rộng rãi trong Word, Excel, Outlook hay Teams – việc mất kiểm soát dữ liệu nhạy cảm có thể gây hậu quả rất lớn.

Doanh nghiệp nên làm gì?

Các chuyên gia khuyến cáo các công ty cần chủ động hơn trong việc phòng ngừa lỗ hổng kiểu zero-click:

Cải tiến bộ lọc để phát hiện prompt injection.
Giới hạn những loại dữ liệu mà AI được phép truy cập.
Chặn AI tự động trả về kết quả chứa liên kết hoặc định dạng dữ liệu lạ.
Cấu hình RAG để không gọi nội dung từ các nguồn bên ngoài không đáng tin.

EchoLeak là một lời nhắc rằng, AI không chỉ thông minh – mà còn rất dễ bị lợi dụng nếu không được kiểm soát chặt. Khi công nghệ càng phức tạp, rủi ro càng lớn, và an toàn dữ liệu không thể chỉ dựa vào một bản vá.