Um novo vetor de ataque conhecido como EchoLeak revelou uma vulnerabilidade crítica nos sistemas de IA corporativos. A falha, descoberta no Microsoft 365 Copilot, representa o primeiro caso documentado de violação de dados por inteligência artificial sem necessidade de clique ou ação do usuário. A brecha foi descoberta pela equipe de segurança da Aim Labs e classificada como CVE-2025-32711 pela Microsoft, que corrigiu silenciosamente o problema em maio de 2025.
EchoLeak: nova falha crítica de IA expõe dados do Microsoft 365 Copilot sem interação do usuário
O que é o EchoLeak e por que é tão grave?
A vulnerabilidade EchoLeak explora uma categoria emergente chamada Violação de Escopo LLM (LLM Scope Violation), em que um modelo de linguagem grande (LLM) — como os utilizados no Microsoft Copilot — é induzido a vazar informações internas sem qualquer intenção ou comando explícito do usuário.
A característica mais alarmante da falha é sua natureza zero clique: basta que o usuário receba um e-mail malicioso — aparentemente inofensivo — para que o ataque seja ativado posteriormente, quando ele fizer uma consulta legítima ao Copilot. Isso acontece porque o conteúdo do e-mail é considerado relevante e é automaticamente recuperado pelo mecanismo RAG (Recuperação Aumentada por Geração) do sistema.
Como o ataque funciona?
O ataque começa com o envio de um e-mail formatado para se assemelhar a um documento corporativo comum. No conteúdo, há uma injeção de prompt oculta, cuidadosamente disfarçada para escapar das defesas automatizadas do Microsoft Copilot, como o XPIA (ataque de injeção entre prompts).
Mais tarde, ao fazer uma pergunta ao Copilot, o sistema recupera o conteúdo daquele e-mail e, inadvertidamente, ativa a injeção maliciosa. O LLM, então, insere dados confidenciais em URLs embutidos em imagens Markdown, os quais são automaticamente carregados pelo navegador — e, com eles, os dados são enviados ao servidor do invasor.
“O ataque pode ser automatizado e operado silenciosamente em ambientes corporativos, representando um risco sem precedentes em sistemas de IA integrados”, afirmam os pesquisadores da Aim Labs.
Impacto limitado, mas com grandes implicações
A Microsoft afirma que não há indícios de exploração ativa da falha antes da correção, e que nenhum cliente foi afetado. Ainda assim, o EchoLeak serve como alerta para uma nova geração de vulnerabilidades em IA corporativa — especialmente em soluções que utilizam RAG com dados contextuais sensíveis.
Os domínios confiáveis da Microsoft, como Teams e SharePoint, foram apontados como possíveis vetores de exfiltração, já que não são bloqueados pelos filtros padrão. Isso levanta preocupações sobre o uso indevido de serviços internos para encobrir o tráfego de dados vazados.
Como mitigar ameaças de injeção em LLMs
Para mitigar falhas como o EchoLeak, especialistas recomendam medidas como:
- Refinamento do escopo de entrada dos LLMs para limitar o conteúdo recuperado.
- Filtros de injeção rápida mais robustos, capazes de identificar comandos disfarçados.
- Pós-processamento das saídas do LLM, bloqueando links externos ou dados estruturados que possam ser usados para exfiltração.
- Reconfiguração dos mecanismos RAG para ignorar comunicações externas como e-mails e chats de origem desconhecida.
Essa é mais uma evidência de que o uso de IA generativa em ambientes empresariais exige um novo paradigma de segurança, que vai além das defesas tradicionais voltadas a endpoints e redes.
Conclusão: o que esperar no futuro da segurança em IA
Embora o EchoLeak tenha sido corrigido antes de causar danos reais, ele representa uma mudança de paradigma na forma como devemos pensar a segurança em ambientes com IA integrada. À medida que ferramentas como o Microsoft 365 Copilot ganham espaço, cresce também a superfície de ataque — e os adversários já estão atentos a isso.
Empresas e equipes de TI devem antecipar possíveis falhas, revisar continuamente suas políticas de acesso e tratamento de dados, e considerar os modelos de LLM como componentes críticos de segurança, não apenas como assistentes.
