Una vulnerabilidad crítica de Copilot permitía la extracción automática de datos sensibles de los usuarios con sólo enviar un correo electrónico.
EchoLeak fue la primera vulnerabilidad zero-click conocida en un asistente de inteligencia artificial. Afectaba a Microsoft 365 CopilotEl exploit estaba integrado en varias aplicaciones de Office, como Word, Excel, Outlook, PowerPoint y Teams. Según los investigadores de Aim Security que descubrieron el exploit, permitía a los atacantes acceder a información sensible de aplicaciones y fuentes de datos conectadas a Copilot sin ninguna interacción del usuario.
El correo electrónico malicioso utilizado en el ataque no contenía enlaces de phishing ni archivos adjuntos con malware. El ataque utilizó una nueva técnica conocida como LLM Scope Violation, que manipula el modelo interno de gran lenguaje para crear un agente de IA para acciones maliciosas.
Un enfoque similar podría utilizarse para comprometer otros chatbots y agentes de IA en el futuro. Incluso las plataformas más avanzadas pueden ser vulnerables, ya que se trata de fallos de diseño fundamentales en la forma en que estos sistemas gestionan el contexto y el acceso a los datos.
Aim Security descubrió el fallo en enero y lo comunicó inmediatamente al Centro de Respuesta de Microsoft. Sin embargo, la empresa tardó casi cinco meses en resolver el problema, lo que, según su cofundador y director técnico, Adir Gruss, es extremadamente largo.
Microsoft tenía lista una solución en abril, pero su publicación se retrasó después de que los ingenieros descubrieran otras vulnerabilidades en mayo. Inicialmente, la empresa intentó contener EchoLeak bloqueando sus rutas a través de las aplicaciones afectadas, pero estos esfuerzos fracasaron debido al comportamiento impredecible de la inteligencia artificial y al enorme margen de posibles ataques.
Microsoft ha emitido un comunicado en el que agradece a Aim Security la revelación responsable del problema y confirma que se ha resuelto por completo. La corrección se ha aplicado automáticamente a todos los productos afectados y no requiere ninguna acción por parte de los usuarios finales.