Microsoft vá lỗ hổng trên M365 Copilot nhưng rủi ro của AI vẫn còn
Microsoft vừa phát hành bản vá lỗ hổng trên M365 Copilot mang tên SearchLeak, sau khi phát hiện nguy cơ đánh cắp dữ liệu chỉ bằng một liên kết tưởng chừng vô hại.
Tuy nhiên, dù Microsoft đã vá lỗ hổng, vụ việc tiếp tục làm dấy lên lo ngại về một vấn đề lớn hơn: những rủi ro bảo mật mang tính cấu trúc của các hệ thống AI tạo sinh vẫn chưa có lời giải triệt để.
Khi một đường link có thể mở khóa cả kho dữ liệu doanh nghiệp
Lỗ hổng hiện được định danh là CVE-2026-42824, do nhóm nghiên cứu bảo mật của Varonis phát hiện và báo cáo cho Microsoft. Theo phân tích kỹ thuật được công bố sau khi bản vá được phát hành, SearchLeak nhắm vào phiên bản doanh nghiệp của Microsoft 365 Copilot và có khả năng truy xuất một lượng lớn dữ liệu mà người dùng được cấp quyền truy cập.
Các nhà nghiên cứu cho biết kẻ tấn công có thể thu thập mã xác thực hai lớp (2FA), email, tài liệu SharePoint, tệp lưu trữ trên OneDrive, ghi chú cuộc họp và nhiều loại dữ liệu khác trong hệ sinh thái Microsoft 365. Đáng chú ý, nạn nhân không cần tải xuống tệp độc hại hay cài đặt phần mềm nào; chỉ cần nhấp vào một liên kết được ngụy trang đáng tin cậy là đủ để kích hoạt chuỗi tấn công.
SearchLeak hoạt động dựa trên việc kết hợp ba điểm yếu riêng biệt nhằm vượt qua các cơ chế bảo vệ vốn được Microsoft xây dựng cho Copilot.
Ở bước đầu tiên, kẻ tấn công lợi dụng kỹ thuật Parameter-to-Prompt Injection. Thay vì nhúng lệnh độc hại vào email hoặc tài liệu như các hình thức prompt injection truyền thống, chỉ thị được giấu trong tham số của URL. Khi người dùng truy cập liên kết, Copilot sẽ nhận lệnh tìm kiếm trong hộp thư hoặc kho dữ liệu nội bộ và trích xuất thông tin nhạy cảm.
Tiếp đó, các nhà nghiên cứu phát hiện một lỗi liên quan đến thời điểm hiển thị nội dung của Copilot. Microsoft đã triển khai cơ chế đóng gói phản hồi trong các khối mã để ngăn trình duyệt thực thi HTML nguy hiểm. Tuy nhiên, lớp bảo vệ này chỉ được kích hoạt sau khi Copilot hoàn tất quá trình suy luận. Trong khoảng thời gian ngắn trước đó, các đoạn HTML thô vẫn có thể được trình duyệt xử lí, tạo ra những yêu cầu HTTP ra bên ngoài.
Mắt xích cuối cùng là việc lợi dụng các miền được Microsoft tin cậy. Chính sách bảo mật nội dung của Copilot chỉ cho phép gửi yêu cầu đến một số tên miền nhất định. Varonis đã tận dụng dịch vụ tìm kiếm hình ảnh của Bing như một trạm trung chuyển, giúp dữ liệu bị đánh cắp đi qua một miền hợp lệ trước khi được chuyển tiếp đến máy chủ của kẻ tấn công.
Điều khiến SearchLeak đặc biệt nguy hiểm là phạm vi dữ liệu mà Copilot có thể tiếp cận. Không chỉ giới hạn trong hộp thư cá nhân, bất kỳ nội dung nào được lập chỉ mục và người dùng có quyền truy cập trên SharePoint, OneDrive hay các hệ thống doanh nghiệp được kết nối đều có nguy cơ bị lộ.
Đã vá lỗ hổng nhưng bài toán bảo mật AI vẫn chưa được giải quyết
Microsoft xác nhận đã khắc phục các lỗ hổng cụ thể được khai thác trong SearchLeak. Tuy nhiên, nhiều chuyên gia cho rằng bản vá chỉ xử lí phần ngọn của vấn đề.
Cốt lõi của thách thức nằm ở cách các mô hình ngôn ngữ lớn (LLM) vận hành. Các hệ thống AI hiện nay vẫn gặp khó khăn trong việc phân biệt đâu là chỉ thị hợp lệ từ người dùng và đâu là những hướng dẫn độc hại được cài cắm trong nội dung mà chúng được yêu cầu xử lí. Đây chính là nền tảng của hầu hết các cuộc tấn công prompt injection đang được phát hiện trong thời gian gần đây.
Khác với những chatbot hoạt động độc lập, Copilot được thiết kế để truy cập và tương tác với toàn bộ hệ sinh thái Microsoft 365. Khả năng kết nối sâu với email, tài liệu, lịch làm việc, hệ thống lưu trữ và các ứng dụng doanh nghiệp là giá trị cốt lõi của sản phẩm. Tuy nhiên, chính phạm vi quyền truy cập rộng lớn này cũng làm gia tăng mức độ nghiêm trọng nếu AI bị khai thác.
Mối lo càng trở nên đáng chú ý khi Microsoft 365 Copilot đang được triển khai trong nhiều tổ chức và doanh nghiệp quy mô lớn trên toàn thế giới. Một lỗ hổng cho phép âm thầm truy xuất dữ liệu nhạy cảm mà không cần kỹ thuật tấn công phức tạp hoặc tương tác bổ sung từ nạn nhân có thể tạo ra hậu quả rất lớn.
Theo các nhà nghiên cứu, việc Microsoft vá lỗ hổng SearchLeak không đồng nghĩa với việc nguy cơ đã biến mất. Những chuỗi khai thác mới dựa trên cùng nguyên lí hoàn toàn có thể tiếp tục xuất hiện trong tương lai. Điều này phản ánh thực tế rằng ngành an ninh mạng vẫn đang trong giai đoạn đầu tìm hiểu và xây dựng các biện pháp phòng vệ cho môi trường AI tạo sinh.
Đối với các doanh nghiệp, SearchLeak là lời nhắc nhở rằng các công cụ AI tích hợp sâu vào hệ thống vận hành cần được xem như một bề mặt tấn công có giá trị cao. Việc giới hạn quyền truy cập, giám sát các kết nối bất thường, kiểm soát luồng dữ liệu ra ngoài và nâng cao nhận thức người dùng sẽ trở thành những biện pháp quan trọng trong chiến lược bảo mật AI.
Về lâu dài, SearchLeak cho thấy các lỗ hổng AI không nhất thiết xuất phát từ những kỹ thuật hoàn toàn mới. Chúng thường là sự kết hợp của các phương thức tấn công quen thuộc được áp dụng vào một môi trường công nghệ mới. Khi AI ngày càng được tích hợp sâu vào hạ tầng doanh nghiệp, phạm vi ảnh hưởng của một cuộc tấn công thành công cũng sẽ ngày càng lớn hơn. Đó mới là thách thức thực sự mà ngành công nghệ phải đối mặt sau khi các bản vá như SearchLeak được phát hành.