Lỗ hổng này cho phép tin tặc đánh cắp dữ liệu nhạy cảm từ các tổ chức mà không cần bất kỳ tương tác nào từ phía người dùng, chỉ thông qua một email tưởng chừng vô hại. Phát hiện này đang gióng lên hồi chuông cảnh báo lớn về những rủi ro bảo mật tiềm ẩn khi doanh nghiệp ngày càng tích hợp AI sâu rộng vào hoạt động vận hành.

Lỗ hổng EchoLeak được nhóm chuyên gia bảo mật tại Công ty Aim Labs công bố, ảnh hưởng trực tiếp đến Microsoft 365 Copilot – phần mềm tích hợp AI vào các ứng dụng văn phòng phổ biến như Word, Excel, Outlook và Teams. Điều đáng lo ngại là quy trình tấn công của EchoLeak vô cùng tinh vi:

Gửi email ẩn lệnh: Kẻ tấn công gửi một email thông thường nhưng lại chứa một đoạn prompt (lệnh gợi ý) đặc biệt được ẩn giấu.

Kích hoạt ngẫu nhiên: Khi người dùng sau đó đặt câu hỏi liên quan đến nội dung email, hệ thống RAG (Retrieval-Augmented Generation) của Copilot sẽ truy xuất email và vô tình kích hoạt prompt ẩn.

Trích xuất và rò rỉ dữ liệu: Prompt này âm thầm hướng dẫn AI trích xuất dữ liệu nội bộ (như báo cáo, tài liệu mật) và chèn vào một liên kết hoặc hình ảnh. Khi nội dung phản hồi hiển thị, trình duyệt của người dùng sẽ tự động truy cập liên kết chứa dữ liệu, vô tình gửi nó đến máy chủ của hacker mà không hề có cảnh báo.

Dữ liệu bị rò rỉ nhờ các định dạng markdown hình ảnh, được thiết kế để trình duyệt tự động gửi yêu cầu mà không cần nhấp chuột. Mặc dù Microsoft đã thiết lập chính sách bảo mật nội dung (CSP) để ngăn chặn việc truy cập các trang web lạ, nhưng do các dịch vụ như Microsoft Teams hay SharePoint được mặc định là "đáng tin cậy", tin tặc có thể lợi dụng điều này để vượt qua hàng rào bảo vệ.

Các nhà nghiên cứu nhấn mạnh rằng EchoLeak không chỉ đơn thuần là một lỗi lập trình. Nó đại diện cho một loại hình rủi ro mới của AI, được gọi là LLM Scope Violation. Đây là lỗi xảy ra khi mô hình ngôn ngữ lớn (Large Language Model) xử lý sai lệch hoặc tiết lộ thông tin ngoài ý muốn mà không có chỉ thị trực tiếp từ người dùng.

Aim Labs cảnh báo rằng kiểu tấn công này đặc biệt nguy hiểm trong môi trường doanh nghiệp. Khi các tác vụ, tài liệu, email được AI truy xuất và xử lý tự động, chỉ một lệnh ẩn trong email cũng có thể dẫn đến rò rỉ dữ liệu quy mô lớn, ảnh hưởng nghiêm trọng đến bảo mật thông tin và uy tín của doanh nghiệp.

Lỗ hổng EchoLeak được phát hiện vào tháng 01/2025 và đã được Microsoft âm thầm khắc phục vào tháng 5 bằng bản vá phía máy chủ (server-side patch), không yêu cầu người dùng cập nhật phần mềm. Microsoft đã xếp EchoLeak vào nhóm lỗ hổng nghiêm trọng, gán mã định danh CVE-2025-32711, và khẳng định không có khách hàng nào bị ảnh hưởng.

Tuy nhiên, vụ việc này là một lời cảnh tỉnh rõ ràng. Mặc dù Microsoft đã nhanh chóng xử lý, các chuyên gia an ninh mạng cho rằng đây là dấu hiệu sớm cho thấy những thách thức bảo mật mới đang nổi lên khi các doanh nghiệp "AI hóa" quy trình vận hành của mình. Đặc biệt, các doanh nghiệp vừa và nhỏ, thường thiếu năng lực đánh giá rủi ro công nghệ, có thể trở thành mục tiêu dễ dàng nếu không có chính sách kiểm soát nội dung đầu vào cho hệ thống AI.

Khả năng AI "nghe lệnh ẩn" qua nội dung tưởng chừng vô hại đang đặt ra yêu cầu cấp thiết về tiêu chuẩn an toàn cho mô hình ngôn ngữ lớn. Việc kiểm tra, giám sát và thiết lập rào chắn thông minh – chẳng hạn như giới hạn nguồn dữ liệu AI được phép truy xuất – cần được ưu tiên hàng đầu. Vụ việc EchoLeak mở ra câu hỏi lớn về mức độ sẵn sàng của các tổ chức trong việc ứng phó với mối đe dọa an ninh mạng đến từ chính các hệ thống AI mà họ đang triển khai.

Phạm Tuấn