Microsoft 365 Copilot -tekoälyavustajasta on löytynyt uusi nollaklikkaushaavoittuvuus. Tietoturvayhtiö Check Point kertoo asiasta tiedotteessa.
Haavoittuvuuden löysivät AIM Securityn tutkijat. Haavoittuvuus on nimetty EchoLinkiksi ja se edustaa uudenlaista uhkaa: se ei vaadi yhtään klikkausta, latausta tai muita käyttäjän toimia.
Nollaklikkaushaavoittuvuus, jossa hyökkääjän ei tarvitse houkutella käyttäjää avaamaan liitteitä tai klikkaamaan linkkejä, osoittaa, kuinka syvälle järjestelmiin integroidut tekoälyratkaisut voivat muodostaa uudenlaisen hyökkäyspinnan.
EchoLinkin kautta tekoäly voidaan saada paljastamaan luottamuksellista organisaation sisäistä tietoa pelkästään prosessoimalla tietyllä tavalla muotoiltuja asiakirjoja, sähköposteja tai kalenterikutsuja.
Löydös on merkittävä etenkin siksi, että EchoLink toimii ilman käyttäjän vuorovaikutusta. Tiedot paljastuvat, kun Copilot käsittelee asiakirjaan upotettuja kehotteita, jotka ohjaavat tekoälyä ”keksimään” vastauksia organisaation sisäiseen kontekstiin perustuen.
Vuotanut tieto voi sisältää muun muassa projektisuunnitelmia, kokousyhteenvetoja tai muita arkaluonteisia sisältöjä.
Microsoft julkaisi korjauksen kesäkuussa 2025, mutta asiantuntijoiden mukaan haavoittuvuus toimii esimerkkinä uudenlaisesta, tekoälypohjaisesta tietovuotoriskistä.
Edit 18.08.2025 klo 18.32: Tiedotteessa oli virheellisesti, että Microsoft 365 Copilotista löydetyn EchoLink-nollaklikkaushaavoittuvuuden olisi havainnut Check Point Research. Haavoittuvuuden havaitsi AIM Security.
LUE MYÖS:
Viekö tekoäly toimittajien työpaikat? Tässä suurimmat uhat
Viestisi voivat vuotaa ulkopuolisille: Nämä ovat sovellusten vaaranpaikat
Tästä merkistä tiedät, että älypuhelimesi kuuntelee sinua