Falha crítica no Copilot permite que IA seja manipulada para roubar os seus dados

Foi descoberta uma vulnerabilidade no Microsoft 365 Copilot. A falha permite que um atacante manipule a IA generativa com um simples e-mail malicioso. Sem o conhecimento do utilizador, a IA pode enviar dados sensíveis para um servidor externo.

Investigadores da Aim Labs descobriram uma vulnerabilidade no Microsoft 365 Copilot. Esta falha permite que os dados confidenciais sejam extraídos sem a necessidade de interação da vítima. Trata-se de um ataque de clique zero que pode ser automatizado. Para explorar a vulnerabilidade, batizada de EchoLeak pelos investigadores, o atacante envia um e-mail malicioso ao alvo.

Este e-mail parece inofensivo. No entanto, contém instruções ocultas para o modelo de linguagem do Copilot. Estas instruem a IA generativa a extrair e exfiltrar dados internos confidenciais do computador. O utilizador permanece inconsciente enquanto o atacante comunica com a IA para roubar os seus dados.

Como o Copilot analisa os e-mails do utilizador em segundo plano, lê essa mensagem e executa o prompt, acedendo a ficheiros internos e extraindo dados confidenciais. A mensagem está redigida para enganar o filtro de ataque de injeção de prompt cruzado (XPIA) do Microsoft Copilot. Segundo os investigadores, é fundamental redigir as instruções como se fossem dirigidas a um ser humano. Trata-se de instruções que podem muito bem ser interpretadas como destinadas a um leitor humano, em vez de instruções" para uma IA.

Uma vez enganados os mecanismos de segurança, o modelo de IA interpreta as instruções e extrai os dados e codifica-os num URL ou imagem Markdown destinada a um servidor externo. Os dados são exfiltrados e chegam ao atacante sem que o utilizador se aperceba. Além disso, o Copilot mascara a origem destas instruções, de modo que o utilizador não consiga rastrear o que aconteceu.

Note que a operação é acionada quando o utilizador coloca uma questão ao Copilot relacionada com o domínio do e-mail malicioso. É nesse momento que a IA lê e executa as instruções da mensagem. Nunca precisa de ser aberta manualmente pelo alvo para que a vulnerabilidade seja explorada. O hacker apenas precisa de mencionar palavras específicas no e-mail.

Alertada pelos investigadores, a Microsoft considerou a vulnerabilidade crítica. O fornecedor corrigiu, portanto, a falha no mês passado com uma atualização do lado do servidor. A Microsoft afirma que não há provas de que a falha tenha sido realmente explorada por hackers.