Microsoft corrige falha de segurança grave da IA Copilot; entenda o caso

por | |

Pesquisadores da empresa de cibersegurança Aim Security identificaram uma falha no Microsoft 365 Copilot, serviço de IA para a suíte de produtividade da empresa, capaz de expor dados de conversas com o chatbot. A MS afirma que já corrigiu o problema e não houve vazamento de informações dos usuários.

  • Sites falsos exploram ‘onda Labubu’ para aplicar golpes; veja como se proteger
  • Aplicativo espião de celular: saiba como identificar e como desinstalar

A vulnerabilidade recebeu o nome de “EchoLeak” e foi classificada como uma ameaça de clique zero — caso houvesse um ataque, os invasores não precisariam forçar nenhuma ação da vítima para ter acesso aos dados

Segundo a Aim Security, bastaria apenas enviar um e-mail para uma conta vinculada ao 365 Copilot para explorar a falha — a configuração padrão do serviço permite que a IA analise e-mails externos, então isso já poderia abrir uma brecha para ataques.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

O ataque seria capaz de vazar o histórico de interações com o Copilot (que pode incluir dados sensíveis das empresas), além de nomes de funcionários e outras informações da companhia. Mesmo com uma correção, a empresa alerta para o perigo de novos ataques diretos contra agentes de IA e que não dependam apenas de um comportamento específico das vítimas.

Falha de segurança envolvia a versão do Copilot exclusiva para a suíte de apps do Microsoft 365 (Imagem: Reprodução/Microsoft)

Microsoft corrigiu problema

A Microsoft foi alertada sobre o problema em janeiro deste ano e testou possíveis soluções até o mês, segundo o site Fortune, mas a correção final para o problema foi liberada em maio através de uma atualização de servidor para o 365 Copilot.

A Gigante de Redmond informa que nenhum consumidor foi afetado pelo problema, sem vazamento de dados — isso significa que os clientes não precisam tomar nenhuma medida adicional.

Leia também:

  • Brasil é o principal alvo de malwares bancários na América Latina; se proteja
  • Como saber se o seu CPF foi vazado online?
  • Como recuperar uma conta do Facebook invadida ou hackeada

VÍDEO: saiba como proteger os dados do seu celular 

 

Leia a matéria no Canaltech.

Adicionar aos favoritos o Link permanente.