Một lỗ hổng nghiêm trọng trong Microsoft 365 Copilot vừa được phát hiện, cho phép kẻ tấn công chèn các prompt injection vào tài liệu Office. Khi Copilot tóm tắt file này, nó đã bị lừa tìm nạp email nhạy cảm, mã hóa chúng và nhúng vào một biểu đồ Mermaid độc hại, chờ người dùng nhấp chuột để gửi dữ liệu về máy chủ của hacker.
Các nhà nghiên cứu đã báo cáo về một cuộc tấn công Indirect Prompt Injection tinh vi. Kẻ tấn công chuẩn bị một tài liệu với các hướng dẫn độc hại được ẩn bằng cách sử dụng văn bản màu trắng. Khi người dùng yêu cầu Copilot tóm tắt tài liệu này, AI sẽ đọc và thực thi các lệnh ẩn đó thay vì thực hiện tác vụ tóm tắt. Các lệnh này yêu cầu Copilot sử dụng công cụ tìm kiếm tích hợp để truy xuất các email công ty gần đây của nạn nhân, sau đó mã hóa (hex-encoded) toàn bộ dữ liệu thành một chuỗi duy nhất.
Điểm mấu chốt của cuộc tấn công nằm ở Mermaid, một công cụ mã nguồn mở dùng để tạo biểu đồ (flowchart, sequence diagram) từ văn bản theo cú pháp Markdown. Vấn đề là Copilot hỗ trợ tạo biểu đồ Mermaid và cho phép tùy chỉnh CSS, mở ra kẽ hở nhúng các liên kết độc hại. AI bị lừa đã tạo ra một biểu đồ giả mạo (ví dụ: một nút “Login” giả). Toàn bộ dữ liệu email đã mã hóa được chèn vào siêu liên kết (hyperlink) của nút này, trỏ đến máy chủ của kẻ tấn”Kẻ tấn công thậm chí còn thay thế nội dung phản hồi bằng hình ảnh màn hình đăng nhập Microsoft 365 giả mạo để thuyết phục người dùng rằng họ cần đăng nhập để xem bản tóm tắt.”
Khi người dùng nhấp vào nút “Login” (vì nghĩ rằng cần đăng nhập để xem tóm tắt), dữ liệu nhạy cảm ngay lập tức bị rò rỉ qua URL. Sau khi nhận được báo cáo về lỗ hổng, Microsoft đã vá Copilot bằng cách vô hiệu hóa các yếu tố tương tác (như hyperlink) trong các biểu đồ Mermaid do AI tạo ra. Thay đổi này ngăn chặn các biểu đồ chứa liên kết có thể nhấp, đóng lại kênh rò rỉ dữ liệu. Người dùng được khuyến cáo cập nhật các tích hợp Copilot của mình và thận trọng khi yêu cầu AI tóm tắt các tài liệu không đáng tin cậy.
