-
09/04/2020
-
99
-
853 bài viết
Cú sốc bảo mật đầu tiên cho AI Microsoft: Zero-click tấn công Copilot dễ như không
Nhóm nghiên cứu bảo mật Aim Labs vừa phát hiện lỗ hổng AI “zero-click” đầu tiên, đánh dấu một bước tiến tấn công mới nguy hiểm của tin tặc trong lĩnh vực trí tuệ nhân tạo (AI). Lỗ hổng này ảnh hưởng trực tiếp đến hệ thống AI tích hợp trong Microsoft 365 Copilot, cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm mà không cần bất kỳ tương tác nào từ phía người dùng. Nhóm nghiên cứu đặt tên cho kỹ thuật khai thác này là EchoLeak.
Copilot – trợ lý AI tích hợp trong các ứng dụng Microsoft 365 như Word, Excel, Outlook và Teams sử dụng mô hình GPT cùng Microsoft Graph để hỗ trợ người dùng tạo nội dung, phân tích dữ liệu và truy vấn thông tin từ hệ thống nội bộ.
Lỗ hổng đã được báo cáo cho Microsoft từ tháng 1/2025, được gán mã định danh CVE-2025-32711 với điểm CVSS lên tới 9.3. Microsoft đã khắc lỗi này vào tháng 5/2025 và chưa ghi nhận trường hợp khai thác nào ngoài thực tế.
Tiếp theo, đoạn mã độc được ngụy trang như một chỉ dẫn hội thoại tự nhiên thông thường, khiến cho mô hình ngôn ngữ hiểu sai là yêu cầu hợp lệ, từ đó dễ dàng vượt qua bộ lọc kiểm soát prompt injection – XPIA của Microsoft mà không bị phát hiện.
Sau đó, khi người dùng đặt câu hỏi cho Microsoft 365 Copilot, hệ thống sẽ kích hoạt cơ chế Retrieval-Augmented Generation (RAG) để tự động tìm kiếm và tổng hợp thông tin liên quan từ nhiều nguồn nội bộ như Outlook, SharePoint, hoặc Teams. Lúc này, đoạn lệnh ngầm được kích hoạt, âm thầm "đánh lừa" mô hình ngôn ngữ (LLM), khiến Copilot hiểu nhầm chỉ thị từ kẻ tấn công là yêu cầu hợp lệ và thực thi prompt được nhúng sẵn.
Điều đó khiến cho Copilot vô thức trích xuất và phản hồi các thông tin nhạy cảm từ nội dung nội bộ bao gồm: tài liệu, dữ liệu mật hoặc liên kết nội bộ như SharePoint, Microsoft Teams trong phần trả lời cho người dùng. Các thông tin này có thể bị kẻ tấn công thu thập thông qua chuỗi khai thác gián tiếp, mà không cần bất kỳ hành động cụ thể nào từ phía nạn nhân. Đây chính là bản chất zero-click của EchoLeak, một khai thác lợi dụng khả năng tự động hóa và liên kết dữ liệu mạnh mẽ của AI để biến nó thành công cụ rò rỉ thông tin âm thầm và hiệu quả.
Dù chưa bị khai thác ngoài thực tế, lỗ hổng này là hồi chuông cảnh tỉnh về nguy cơ AI bị lợi dụng để tiết lộ dữ liệu nhạy cảm một cách âm thầm. Trong tương lai gần, các hệ thống AI tích hợp sẽ đòi hỏi mô hình phòng thủ mới, thay vì chỉ dựa vào các biện pháp an ninh truyền thống.
Copilot – trợ lý AI tích hợp trong các ứng dụng Microsoft 365 như Word, Excel, Outlook và Teams sử dụng mô hình GPT cùng Microsoft Graph để hỗ trợ người dùng tạo nội dung, phân tích dữ liệu và truy vấn thông tin từ hệ thống nội bộ.
Lỗ hổng đã được báo cáo cho Microsoft từ tháng 1/2025, được gán mã định danh CVE-2025-32711 với điểm CVSS lên tới 9.3. Microsoft đã khắc lỗi này vào tháng 5/2025 và chưa ghi nhận trường hợp khai thác nào ngoài thực tế.
Cách thức tấn công EchoLeak
Đầu tiên, kẻ tấn công có thể gửi một email hoặc tài liệu định dạng đơn giản như văn bản markdown đến hộp thư Outlook của nạn nhân, bên trong chứa một đoạn prompt injection được ngụy trang tinh vi. Dù người dùng không mở email, nội dung này vẫn tồn tại trong không gian dữ liệu có thể truy xuất bởi Microsoft 365 Copilot để phục vụ các tác vụ phân tích hoặc tạo nội dung.Tiếp theo, đoạn mã độc được ngụy trang như một chỉ dẫn hội thoại tự nhiên thông thường, khiến cho mô hình ngôn ngữ hiểu sai là yêu cầu hợp lệ, từ đó dễ dàng vượt qua bộ lọc kiểm soát prompt injection – XPIA của Microsoft mà không bị phát hiện.
Sau đó, khi người dùng đặt câu hỏi cho Microsoft 365 Copilot, hệ thống sẽ kích hoạt cơ chế Retrieval-Augmented Generation (RAG) để tự động tìm kiếm và tổng hợp thông tin liên quan từ nhiều nguồn nội bộ như Outlook, SharePoint, hoặc Teams. Lúc này, đoạn lệnh ngầm được kích hoạt, âm thầm "đánh lừa" mô hình ngôn ngữ (LLM), khiến Copilot hiểu nhầm chỉ thị từ kẻ tấn công là yêu cầu hợp lệ và thực thi prompt được nhúng sẵn.
Điều đó khiến cho Copilot vô thức trích xuất và phản hồi các thông tin nhạy cảm từ nội dung nội bộ bao gồm: tài liệu, dữ liệu mật hoặc liên kết nội bộ như SharePoint, Microsoft Teams trong phần trả lời cho người dùng. Các thông tin này có thể bị kẻ tấn công thu thập thông qua chuỗi khai thác gián tiếp, mà không cần bất kỳ hành động cụ thể nào từ phía nạn nhân. Đây chính là bản chất zero-click của EchoLeak, một khai thác lợi dụng khả năng tự động hóa và liên kết dữ liệu mạnh mẽ của AI để biến nó thành công cụ rò rỉ thông tin âm thầm và hiệu quả.
Khuyến cáo
Chuyên gia của Trung tâm An ninh mạng Bkav Cyber Security cho biết: EchoLeak là ví dụ điển hình cho một kỹ thuật tấn công mới khai thác các mô hình AI qua cơ chế prompt injection gián tiếp. Điều nguy hiểm là người dùng không cần thực hiện bất kỳ hành động nào, trong khi hệ thống vẫn có thể bị khai thác để tiết lộ dữ liệu nhạy cảm.- Xác thực và kiểm soát truy cập: Áp dụng cơ chế xác thực chặt chẽ và phân quyền chi tiết cho các AI agent
- Kiểm tra nguồn truy vấn: Xác minh tiêu đề “Origin” và ngăn truy vấn đến từ các nguồn không xác thực như email, markdown hoặc hệ thống bên ngoài
- Giám sát và phát hiện bất thường: Thường xuyên audit các truy vấn AI – ghi log, theo dõi hành vi bất thường, phát hiện sớm các chuỗi prompt đáng ngờ
- Phân tách vùng dữ liệu tin cậy: Không xử lý lẫn lộn dữ liệu nội bộ và nội dung đến từ bên ngoài trong cùng ngữ cảnh AI tránh để prompt độc ẩn mình kích hoạt trong quá trình tổng hợp dữ liệu
- Tăng cường nhận thức người dùng: Cảnh báo về rủi ro từ các nội dung tưởng chừng vô hại như ghi chú, email markdown... và đào tạo đội ngũ kỹ thuật về prompt injection gián tiếp
- Cập nhật chính sách bảo mật liên tục: Theo dõi sát các xu hướng tấn công mới, điều chỉnh bộ lọc, sandbox và quyền AI để tránh AI bị khai thác như một công cụ rò rỉ dữ liệu
Dù chưa bị khai thác ngoài thực tế, lỗ hổng này là hồi chuông cảnh tỉnh về nguy cơ AI bị lợi dụng để tiết lộ dữ liệu nhạy cảm một cách âm thầm. Trong tương lai gần, các hệ thống AI tích hợp sẽ đòi hỏi mô hình phòng thủ mới, thay vì chỉ dựa vào các biện pháp an ninh truyền thống.
(Theo The Hacker News, BleepingComputer, WhiteHat)
Chỉnh sửa lần cuối: