Vulnerabilidade do Microsoft Copilot: Novo alerta sobre risco de vazamento de dados de IA

À medida que a inteligência artificial (IA) se torna parte de tudo, desde a elaboração de relatórios e a resposta a e-mails até a análise de dados, parece que vivemos em uma era de conveniência sem precedentes. Mas o lado negativo da conveniência também começa a ficar evidente, especialmente quando se trata de segurança.

Uma vulnerabilidade de segurança recente chamada EchoLeak deixou os usuários do serviço Microsoft Copilot em risco de ter seus dados confidenciais vazados sem que eles tomem nenhuma providência.

Quando a IA se torna uma vulnerabilidade de segurança

De acordo com a pesquisa do Tuoi Tre Online , o EchoLeak é uma vulnerabilidade de segurança registrada recentemente com o código CVE-2025-32711, que especialistas classificaram como perigosa em 9,3/10, de acordo com a escala do NIST.

O que preocupa os especialistas em segurança é que a natureza do programa é "zero clique" : os invasores podem explorar dados do Copilot sem que o usuário precise clicar, abrir um arquivo ou mesmo saber que algo está acontecendo.

Este não é um bug simples. A equipe de pesquisa da Aim Labs, que descobriu a falha, acredita que o EchoLeak reflete uma falha de design comum em sistemas de IA baseados em agentes e RAGs. Como o Copilot faz parte do pacote de aplicativos do Microsoft 365 que armazena e-mails, documentos, planilhas e agendas de reuniões de milhões de usuários, o potencial de vazamento de dados é particularmente grave.

O problema não reside apenas no código específico, mas na forma como os modelos de linguagem de grande porte (LLMs) operam. As IAs precisam de muito contexto para responder com precisão e, portanto, têm acesso a muitos dados de fundo. Sem controles claros sobre a entrada e a saída, as IAs podem ser "conduzidas" de maneiras que os usuários desconhecem. Isso cria um novo tipo de "porta dos fundos" que não se deve a uma falha no código, mas sim ao comportamento das IAs fora da compreensão humana.

A Microsoft lançou rapidamente um patch, e nenhum dano real foi relatado até o momento. Mas a lição do EchoLeak é clara: quando a IA está profundamente integrada aos sistemas em funcionamento, mesmo pequenos erros na forma como ela entende o contexto podem ter consequências graves para a segurança.

Quanto mais conveniente a IA se torna, mais frágeis os dados pessoais se tornam

O incidente do EchoLeak levanta uma questão preocupante: as pessoas confiam tanto na IA a ponto de não perceberem que podem ser rastreadas ou ter suas informações pessoais expostas com apenas uma mensagem de texto? Uma vulnerabilidade recém-descoberta que permite que hackers extraiam dados silenciosamente, sem que os usuários precisem pressionar nenhum botão, é algo que antes só era visto em filmes de ficção científica, mas agora é uma realidade.

Embora as aplicações de IA sejam cada vez mais populares, desde assistentes virtuais como o Copilot, chatbots em bancos, educação , até plataformas de IA que escrevem conteúdo e processam e-mails, a maioria das pessoas não é avisada sobre como seus dados são processados ​​e armazenados.

“Conversar” com um sistema de IA não se trata mais apenas de fazer algumas perguntas por conveniência, mas também pode revelar inadvertidamente sua localização, hábitos, emoções ou até mesmo informações da conta.

No Vietnã, muitas pessoas estão familiarizadas com o uso de IA em celulares e computadores sem conhecimento básico de segurança digital . Muitas pessoas compartilham informações privadas com a IA por acreditarem que "é apenas uma máquina". Mas, na realidade, por trás dela existe um sistema que pode registrar, aprender e transmitir dados para outros lugares, especialmente quando a plataforma de IA é de terceiros e não foi testada com precisão quanto à segurança.

Para limitar os riscos, os usuários não precisam necessariamente abrir mão da tecnologia, mas precisam estar mais atentos: devem verificar cuidadosamente se o aplicativo de IA que estão usando tem uma fonte confiável, se os dados estão criptografados e, principalmente, não compartilhar informações confidenciais , como números de identidade, contas bancárias, informações de saúde... com nenhum sistema de IA sem serem claramente avisados.

Assim como quando a internet surgiu, a IA também precisa de tempo para se aperfeiçoar e, durante esse tempo, os usuários devem ser os primeiros a se proteger proativamente.