Copilot AI: Lỗ hổng bảo mật Zero-click đầu tiên

Nam Anh Mai D.Nam Anh Mai D.
6 min read

Vừa qua, các nhà nghiên cứu bảo mật thuộc Aim Labs đã công bố về lỗ hổng bảo mật zero-click đầu tiên trên Copilot AI, mở ra một giai đoạn thách thức mới đối với an ninh mạng trên toàn cầu. Được theo dõi dưới cái tên EchoLeak, lỗ hổng này tác động trực tiếp đến hệ thống AI được tích hợp trong Microsoft 365 Copilot, cho phép tin tặc lợi dụng và trích xuất dữ liệu nhạy cảm mà không yêu cầu bất kỳ tương tác nào từ phía người dùng.

Thông tin lỗ hổng

Copilot AI, một trí tuệ nhân tạo với khả năng tóm tắt email, soạn thảo tài liệu, phân tích bảng tính được tích hợp trong Microsoft Office vừa qua đã là chủ đề nóng trong giới bảo mật do sự xuất hiện của một lỗ hổng mới, cho phép kẻ tấn công trích xuất các thông tin nhạy cảm thông qua một email gửi đi mà không cần bất kỳ tương tác nào từ phía nạn nhân.

  • Định danh lỗ hổng: EchoLeak - CVE-2025-32711

  • Điểm CVSS(3.1): 9.3

  • Mức độ nghiêm trọng: CRITICAL

  • Mô tả chung: Lỗ hổng cho phép tin tặc chèn lệnh (command injection) trong Microsoft 365 Copilot AI gây rò rỉ các thông tin nhạy cảm.

Phương thức khai thác

Hình 1: Chuỗi tấn công - Nguồn: Aim Labs

Bước 1: Vượt qua XPIA

Cross-prompt injection attack (XPIA) là công cụ đóng vai trò như một lớp lọc được Microsoft triển khai để ngăn chặn các cuộc tấn công tiêm lệnh vào prompt (prompt injection). Tuy nhiên, theo nghiên cứu từ Aim Labs, cơ chế này đã bị qua mặt một cách dễ dàng chỉ bằng một email chứa đoạn prompt injection độc hại được nguỵ trang tinh vi. Để qua mặt lớp phân loại XPIA, nội dung trong email này hoàn toàn không nhắc đến AI, trợ lý ảo, Copilot, v.v., điều này đảm bảo rằng lớp phân loại không nhận diện được email là độc hại.

Bước 2: Vượt qua cơ chế làm mờ liên kết (link redaction)

Để rút dữ liệu nhạy cảm thông qua M365 Copilot, kẻ tấn công cần một kênh truyền thông tin ra ngoài. Ý tưởng ban đầu là nhúng một liên kết dẫn đến máy chủ của kẻ tấn công trong nội dung Copilot phản hồi, kèm theo các tham số chứa thông tin nhạy cảm từ LLM. Tuy nhiên, Copilot tự động làm mờ (redact) các liên kết markdown trỏ ra ngoài, khiến người dùng không thể nhấp vào chúng.

Dù vậy, cơ chế này có lỗ hổng: liên kết markdown dạng tham chiếu (reference-style) không bị nhận diện và không bị loại bỏ. Kẻ tấn công có thể sử dụng cú pháp markdown thay thế để chèn các liên kết độc hại vẫn hiển thị đầy đủ và hoạt động bình thường.

Bằng cách lợi dụng các biến thể markdown không bị kiểm soát này, kẻ tấn công có thể vượt qua lớp bảo vệ của Copilot và thiết lập được kênh rò rỉ dữ liệu ra ngoài.

Hình 2: Vượt qua cơ chế làm mờ liên kết - Nguồn: Aim Labs

Bước 3: Vượt qua cơ chế làm mờ hình ảnh (image redaction)

Thay vì phụ thuộc vào việc người dùng nhấp vào liên kết, kẻ tấn công có thể chuyển sang sử dụng hình ảnh markdown để tự động rút dữ liệu. Trình duyệt sẽ tự động tải hình ảnh khi nó được nhúng trong phản hồi của Copilot, cho phép gửi dữ liệu ra ngoài (exfiltration) mà không cần tương tác từ người dùng.

Mặc dù Copilot cũng làm mờ các hình ảnh markdown thông thường, markdown dạng tham chiếu (reference-style) một lần nữa trở thành lỗ hổng: các hình ảnh sử dụng cú pháp này không bị loại bỏ. Kẻ tấn công có thể chèn URL chứa dữ liệu nhạy cảm vào tham số truy vấn (query string) của ảnh, và trình duyệt sẽ gửi yêu cầu HTTP ra ngoài.

Tuy nhiên, biện pháp bảo vệ tiếp theo của Microsoft là chính sách Content-Security-Policy (CSP), nó giới hạn nguồn tải ảnh (img-src) chỉ từ các miền cho phép, nhằm ngăn chặn khả năng cơ chế image redaction bị vượt qua.

Bước 4: Vượt qua cơ chế CSP bằng SharePoint

Kẻ tấn công tìm cách lợi dụng Microsoft SharePoint để chuyển dữ liệu đã trích xuất được ra ngoài, tuy nhiên cách này cần được người dùng chấp nhận lời mời truy cập — khá bất tiện. Nhóm nghiên cứu sau đó đã phát hiện ra Microsoft Teams cho phép gửi dữ liệu ra ngoài mà không cần bất kỳ hành động nào từ người dùng, khiến quá trình tấn công khai thác và trích xuất dữ liệu nhạy cảm gửi ra bên ngoài có thể hoạt động hoàn toàn tự động.

Sau cùng, để che giấu dấu vết, kẻ tấn công đơn giản yêu cầu AI không nhắc đến email chứa lệnh độc hại trong bất kỳ phản hồi nào, khiến việc phát hiện tấn công trở nên rất khó khăn.

Bước 5: Tiến hành khai thác

Kẻ tấn công có thể tiến hành khai thác thông qua hai phương thức chính: RAG Spraying và LLM Scope Violation.

Đối với phương thức RAG Spraying, mục tiêu của kẻ tấn công là làm sao để email độc hại của chúng có cơ hội được AI truy xuất ngay lập tức mỗi khi người dùng hỏi bất kỳ câu hỏi nào. Khi này kẻ tấn công chuẩn bị một email rất dài, chia thành nhiều phần nhỏ, mỗi phần trông giống như một tài liệu hướng dẫn bình thường (về nhân sự, nghỉ phép, FAQ...). Song song đó, kẻ tấn công khéo léo lồng ghép các chỉ dẫn độc hại phục vụ cho việc khai thác command injection. Do nội dung trong email chứa nhiều chủ đề khác nhau, kẻ tấn công có thể đảm bảo email cùng các câu lệnh độc hại được Copilot truy xuất trong bất kể các trường hợp nào mà không cần quan tâm người dùng sẽ yêu cầu những gì.

Mặt khác, với phương thức LLM Scope Violation, đây là phương thức được sử dụng sau khi email độc hại được Copilot truy xuất. Do Copilot có quyền hạn truy cập tới các tài liệu nội bộ, kẻ tấn công có thể dễ dàng thu thập được các dữ liệu nhạy cảm thông qua các câu lệnh lợi dụng AI đính kèm trong email.

Khắc phục & Khuyến nghị

EchoLeak là trường hợp điển hình mới cho phương thức tấn công khai thác các mô hình AI. Để phòng tránh rủi ro đối diện với nguy cơ mới này, người dùng nên:

  1. Giới hạn quyền truy cập của AI nội bộ (Copilot): Chỉ cấp quyền cần thiết, tránh để AI truy cập toàn bộ email, tài liệu hoặc dữ liệu nhạy cảm mà không kiểm soát.

  2. Cải thiện bộ lọc nội dung và ngăn chặn prompt injection: Áp dụng kiểm duyệt nâng cao để phát hiện yêu cầu độc hại, kể cả khi không đề cập trực tiếp đến các từ khoá như "AI" hay "Copilot".

  3. Chặn truy cập đến các liên kết bên ngoài không tin cậy: Tăng cường chính sách bảo mật nội dung (CSP), vô hiệu hóa Markdown ẩn hoặc các liên kết được chèn ngụy trang trong ảnh/hướng dẫn.

  4. Giám sát và ghi log mọi hoạt động AI: Theo dõi truy vấn người dùng và phản hồi từ AI để phát hiện hành vi bất thường và truy vết khi cần.

  5. Huấn luyện người dùng và nâng cao nhận thức: Cảnh báo về rủi ro từ email lạ, yêu cầu tới AI không rõ nguồn gốc, và khuyến khích báo cáo khi có sự bất thường.

Tham khảo

  1. Aim Labs | Echoleak Blogpost
0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligencecopilotvulnerability

Written by

Nam Anh Mai D.
Nam Anh Mai D.