Vulnerabilitate Microsoft Copilot: Nou avertisment privind riscul de scurgere a datelor de inteligență artificială

Pe măsură ce inteligența artificială (IA) devine parte integrantă a tuturor aspectelor, de la redactarea rapoartelor, răspunsul la e-mailuri și analiza datelor, se pare că trăim într-o eră a confortului fără precedent. Însă dezavantajul confortului începe să devină evident, mai ales când vine vorba de securitate.

O vulnerabilitate de securitate recentă, denumită EchoLeak, a expus utilizatorilor serviciului Microsoft Copilot riscul scurgerii de date sensibile fără ca aceștia să ia nicio măsură.

Când IA devine o vulnerabilitate de securitate

Conform cercetărilor realizate de Tuoi Tre Online , EchoLeak este o vulnerabilitate de securitate recent înregistrată, cu codul CVE-2025-32711, pe care experții au evaluat-o ca fiind periculoasă cu un scor de 9,3/10 conform scalei NIST.

Ceea ce îi îngrijorează pe experții în securitate este natura sa „zero-click” : atacatorii pot exploata datele din Copilot fără ca utilizatorul să fie nevoit să dea clic, să deschidă un fișier sau chiar să știe că se întâmplă ceva.

Nu este vorba de o eroare simplă. Echipa de cercetare de la Aim Labs, care a descoperit eroarea, consideră că EchoLeak reflectă o eroare de design comună în sistemele de inteligență artificială bazate pe agenți și RAG. Deoarece Copilot face parte din suita de aplicații Microsoft 365 care conține e-mailuri, documente, foi de calcul și programe de întâlniri a milioane de utilizatori, potențialul de scurgere a datelor este deosebit de grav.

Problema nu constă doar în codul specific, ci și în modul în care funcționează modelele lingvistice mari (LLM). IA-urile au nevoie de mult context pentru a răspunde cu precizie și, prin urmare, li se oferă acces la o mulțime de date de fundal. Fără controale clare asupra datelor de intrare și ieșire, IA-urile pot fi „conduse” în moduri de care utilizatorii nu sunt conștienți. Acest lucru creează un nou tip de „backdoor” care nu se datorează unei erori în cod, ci pentru că IA-urile se comportă în afara înțelegerii umane.

Microsoft a lansat rapid un patch, iar până acum nu au fost raportate daune reale. Însă lecția de la EchoLeak este clară: atunci când inteligența artificială este profund integrată în sistemele funcționale, chiar și mici erori în modul în care aceasta înțelege contextul pot avea consecințe majore în materie de securitate.

Cu cât IA devine mai convenabilă, cu atât datele personale devin mai fragile

Incidentul EchoLeak ridică o întrebare îngrijorătoare: Au oamenii atât de multă încredere în inteligența artificială încât nu își dau seama că pot fi urmăriți sau că informațiile lor personale pot fi expuse doar printr-un mesaj text? O vulnerabilitate recent descoperită, care permite hackerilor să extragă date în mod silențios, fără ca utilizatorii să fie nevoiți să apese pe butoane, este ceva ce odinioară se vedea doar în filmele science fiction, dar acum este realitate.

Deși aplicațiile de inteligență artificială sunt din ce în ce mai populare, de la asistenți virtuali precum Copilot, chatboți în domeniul bancar și educației , până la platforme de inteligență artificială care scriu conținut și procesează e-mailuri, majoritatea oamenilor nu sunt avertizați cu privire la modul în care datele lor sunt procesate și stocate.

„Conversația” cu un sistem de inteligență artificială nu mai înseamnă doar a pune câteva întrebări pentru comoditate, ci poate dezvălui, în mod accidental, locația, obiceiurile, emoțiile sau chiar informațiile contului tău.

În Vietnam, mulți oameni sunt familiarizați cu utilizarea inteligenței artificiale pe telefoane și computere fără a avea cunoștințe de bază despre securitatea digitală . Mulți oameni partajează informații private cu inteligența artificială pentru că ei cred că „este doar o mașină”. Dar, în realitate, în spatele acesteia se află un sistem care poate înregistra, învăța și transmite date către alte locuri, mai ales atunci când platforma de inteligență artificială provine de la o terță parte și nu a fost testată în mod clar din punct de vedere al securității.

Pentru a limita riscurile, utilizatorii nu trebuie neapărat să renunțe la tehnologie, ci trebuie să fie mai conștienți: ar trebui să verifice cu atenție dacă aplicația de inteligență artificială pe care o utilizează are o sursă fiabilă, dacă datele sunt criptate și, mai ales , să nu partajeze informații sensibile, cum ar fi numere de identificare, conturi bancare, informații medicale... cu niciun sistem de inteligență artificială fără a fi avertizați în mod clar.

La fel ca atunci când a apărut internetul, și inteligența artificială are nevoie de timp pentru a se perfecționa, iar în acest timp, utilizatorii ar trebui să fie primii care se protejează proactiv.