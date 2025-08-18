Microsoft 365 Copilot -tekoälyavustajasta on löytynyt uusi nollaklikkaushaavoittuvuus. Tietoturvayhtiö Check Point kertoo asiasta tiedotteessa.

Haavoittuvuuden löysivät Check Point Researchin tutkijat. Haavoittuvuus on nimetty EchoLinkiksi ja se edustaa uudenlaista uhkaa: se ei vaadi yhtään klikkausta, latausta tai muita käyttäjän toimia.

Nollaklikkaushaavoittuvuus, jossa hyökkääjän ei tarvitse houkutella käyttäjää avaamaan liitteitä tai klikkaamaan linkkejä, osoittaa, kuinka syvälle järjestelmiin integroidut tekoälyratkaisut voivat muodostaa uudenlaisen hyökkäyspinnan.

EchoLinkin kautta tekoäly voidaan saada paljastamaan luottamuksellista organisaation sisäistä tietoa pelkästään prosessoimalla tietyllä tavalla muotoiltuja asiakirjoja, sähköposteja tai kalenterikutsuja.

Löydös on merkittävä etenkin siksi, että EchoLink toimii ilman käyttäjän vuorovaikutusta. Tiedot paljastuvat, kun Copilot käsittelee asiakirjaan upotettuja kehotteita, jotka ohjaavat tekoälyä ”keksimään” vastauksia organisaation sisäiseen kontekstiin perustuen.

Vuotanut tieto voi sisältää muun muassa projektisuunnitelmia, kokousyhteenvetoja tai muita arkaluonteisia sisältöjä.

Microsoft julkaisi korjauksen kesäkuussa 2025, mutta asiantuntijoiden mukaan haavoittuvuus toimii esimerkkinä uudenlaisesta, tekoälypohjaisesta tietovuotoriskistä.

