A crescente adoção de assistentes de inteligência artificial, como o Microsoft 365 Copilot, trouxe ganhos de produtividade a empresas de todos os portes. Porém, recentemente pesquisadores descobriram a vulnerabilidade EchoLeak, classificada como crítica (CVE‑2025‑32711), um tipo de ataque “zero-click” que permite a exfiltração silenciosa de dados sensíveis, sem qualquer interação do usuário.
Embora o problema já tenha sido corrigido pelo Microsoft em caráter server-side, sem necessidade de ação do usuário, ele revela risco de uso de LLM (modelos de linguagem) incorpora vetores de ataque totalmente novos, que fogem das defesas tradicionais.
O que é o Microsoft 365 Copilot?
Sobretudo, o Microsoft 365 Copilot representa uma nova era na produtividade empresarial. Portanto, com base em inteligência artificial, ele integra modelos de linguagem avançados (LLMs) às ferramentas do Microsoft Office, como Word, Excel, Outlook e Teams. Desse modo, essa integração promete automatizar processos, gerar conteúdo e dar suporte à tomada de decisões, tudo a partir de comandos simples e conversacionais.
O que é o EchoLeak?
Surpreendentemente, o EchoLeak é uma vulnerabilidade identificada na forma como o Microsoft 365 Copilot trata conteúdos maliciosos integrados ao seu mecanismo de contexto, o chamado RAG (Retrieval-Augmented Generation). Então, ao analisar mensagens de e-mail recebidas e incorporá-las ao histórico de geração de conteúdo, o Copilot pode, sem saber, obedecer a comandos ocultos enviados por atacantes.
De qualquer forma, o mais preocupante é que o ataque acontece mesmo sem qualquer ação do usuário. Isto é, basta que um e-mail com conteúdo cuidadosamente estruturado chegue à caixa de entrada e seja processado pelo Copilot.
Como funciona o ataque no Microsoft 365 Copilot?
Pesquisadores da Aim Labs identificaram o EchoLeak em janeiro de 2025. A falha foi corrigida em maio do mesmo ano, após receber um escore CVSS de 9.3.
O ataque consiste em:
- O invasor envia um e-mail aparentemente legítimo, mas que contém um prompt escondido no corpo do texto ou metadados.
- Então, o conteúdo malicioso é ingerido pelo modelo de linguagem como parte do contexto.
- Assim que o usuário executa uma ação com o Copilot — como “resuma os últimos e-mails” — o modelo ativa o prompt oculto.
- Assim, o Copilot gera uma resposta que inclui dados internos sigilosos, e pode até redirecionar essas informações a servidores externos por meio de links disfarçados.
Essa técnica, chamada de prompt injection combinada com um ataque zero-click, demonstra como soluções baseadas em IA podem ser exploradas sem sequer depender da interação humana.
Vulnerabilidades emergentes em assistentes de IA
A EchoLeak é uma das primeiras falhas conhecidas a atingir assistentes de inteligência artificial corporativa em escala. Esse tipo de tecnologia, presente em soluções como o Microsoft 365 Copilot, está sendo cada vez mais adotada em ambientes de trabalho.
Porém, muitas empresas ainda não possuem maturidade de segurança suficiente para lidar com esse novo tipo de ameaça. Isso inclui:
- Falta de controle sobre o que é ingerido pelos modelos de linguagem;
- Ausência de políticas claras sobre o uso de IA generativa;
- Falta de visibilidade sobre os dados manipulados nos bastidores;
- Dependência exclusiva de medidas de segurança tradicionais (antivírus, firewall, etc.).
Como isso afeta seu Microsoft 365 Copilot?
No Brasil, o Microsoft 365 é uma das ferramentas mais utilizadas por pequenas e médias empresas, especialmente nos setores de serviços, contabilidade, saúde e educação. Com a ativação crescente do Copilot em português, milhares de organizações já estão integrando IA às suas rotinas de trabalho, muitas vezes sem saber dos riscos envolvidos.
Um ataque como o EchoLeak pode levar a:
- Vazamento de dados sensíveis (contratos, relatórios financeiros, dados de clientes);
- Quebra de sigilo profissional, especialmente em áreas reguladas (jurídico, saúde, financeiro);
- Penalidades por violação da LGPD, com multas e danos reputacionais;
- Comprometimento de decisões estratégicas, com base em dados manipulados.
Pesquisadores alertam que o EchoLeak pode ser a primeira de uma nova geração de falhas voltadas à manipulação de assistentes inteligentes. E como os LLMs trabalham com contextos amplos, históricos longos e integração de fontes externas, as possibilidades de ataque são numerosas.
O que a Box recomenda para se proteger Microsoft 365 Copilot
Embora a falha específica tenha sido corrigida, ela levanta um alerta sobre o que está por vir. A adoção da inteligência artificial nas empresas precisa caminhar lado a lado com o reforço das políticas de segurança digital.
| Camada de Defesa | Recomendação prática |
| Filtragem de e-mails avançada | Inspeção de conteúdo com análise semântica |
| Políticas de prompt seguras | Bloqueio de termos suspeitos em mensagens |
| Monitoramento de AI e logs de acesso | Rastreabilidade e auditoria contínua |
| Testes de intrusão focados em IA | Simulações de ataques zero-click |
| Treinamento da equipe sobre gerar prompts | Educação sobre riscos da tecnologia |
O futuro da segurança de IA corporativa
A vulnerabilidade EchoLeak é um marco. A primeira exploração conhecida de IA via modelo de linguagem sem clique envolveu um produto amplamente usado em empresas. À medida que a adoção de assistentes de IA cresce, surge também a necessidade de proteger todo o seu ciclo desde o e-mail ao componente que responde.
Além disso, ela reforça que a segurança de dados não pode parar no endpoint. Exige controle em cada camada, especialmente em sistemas inteligentes que trabalham com conhecimento interno da organização.
A Box reforça que investir em visibilidade e governança de dados com IA corporativa é uma exigência para operar com segurança e confiança no ambiente digital.
