Zero-click Attack vừa trở thành chủ đề nóng trong giới bảo mật công nghệ khi Microsoft chính thức tung ra bản vá cho lỗ hổng nghiêm trọng mang tên EchoLeak, ảnh hưởng trực tiếp đến Microsoft Copilot. Đây là lần đầu tiên một trợ lý AI tích hợp sâu vào hệ sinh thái Microsoft bị phát hiện có thể bị tấn công hoàn toàn tự động mà không cần người dùng tương tác, từ đó đặt ra thách thức lớn cho các doanh nghiệp đang đẩy mạnh ứng dụng AI vào quản trị và vận hành.
Zero-click Attack trên Microsoft Copilot: Cách thức hoạt động và mối nguy hiểm tiềm tàng
Lỗ hổng EchoLeak, được gắn mã định danh CVE-2025-32711 với mức độ nghiêm trọng cao (CVSS 9.3), do Aim Security phát hiện trên nền tảng Microsoft 365 Copilot – trợ lý AI hỗ trợ người dùng trong các ứng dụng như Word, Excel, Outlook và Teams. Zero-click Attack này cho phép hacker đánh cắp dữ liệu nội bộ chỉ bằng cách gửi một email chứa mã lệnh đặc biệt. Điều đáng lo ngại là người dùng không cần mở email hay thực hiện bất kỳ hành động nào để bị tấn công.
Cơ chế khai thác lợi dụng điểm yếu trong cách các mô hình ngôn ngữ lớn (LLM) xử lý phạm vi dữ liệu. Email được thiết kế tinh vi sẽ đánh lừa Copilot, khiến nó tự động truy vấn và gửi thông tin từ OneDrive, Teams, SharePoint… đến máy chủ của kẻ tấn công. Do hành động này diễn ra hoàn toàn trong nền và không để lại dấu hiệu rõ ràng, việc phát hiện gần như bất khả thi trong môi trường doanh nghiệp.
Phản ứng từ Microsoft, bài học bảo mật và khuyến nghị cho doanh nghiệp
Sau khi nhận được báo cáo từ tháng 1/2025, Microsoft đã mất gần 5 tháng để hoàn thiện bản vá toàn diện cho EchoLeak, do tính chất phức tạp và mức độ lan tỏa của lỗ hổng. Trong thời gian đó, mọi biện pháp khắc phục tạm thời như chặn địa chỉ khai thác đều không hiệu quả vì hành vi AI quá khó kiểm soát. Bản cập nhật vá lỗi hiện đã được áp dụng tự động cho toàn bộ hệ thống bị ảnh hưởng, người dùng không cần thực hiện thêm hành động nào.
Dù chưa ghi nhận vụ khai thác nào trên thực tế, nhiều tổ chức lớn – đặc biệt là các công ty trong danh sách Fortune 500 – đã lập tức rà soát lại chiến lược ứng dụng AI trong nội bộ. Sự cố EchoLeak không chỉ cảnh báo về rủi ro với Copilot, mà còn là tín hiệu cho thấy các nền tảng AI ứng dụng LLM hoặc RAG như Anthropic Claude, Salesforce Agentforce cũng đang đứng trước nguy cơ tương tự nếu không có cơ chế kiểm soát chặt chẽ.
Từ góc độ kỹ thuật, EchoLeak chỉ ra sự cần thiết của việc thiết kế lại các lớp kiểm soát truy cập, giám sát truy vấn và xác thực dữ liệu đầu vào cho mọi AI Agent. Về mặt ngắn hạn, doanh nghiệp nên nâng cao cảnh giác, theo dõi kỹ nội dung email, triển khai giải pháp giám sát AI và cập nhật các bản vá ngay khi có thông báo.
Tóm lại: Cuộc tấn công Zero-click Attack thông qua lỗ hổng EchoLeak đã trở thành hồi chuông cảnh tỉnh cho cộng đồng doanh nghiệp khi triển khai AI vào hệ thống. Dù Microsoft đã xử lý kịp thời, rủi ro trong tương lai vẫn còn hiện hữu nếu không chủ động thiết kế lại AI theo hướng an toàn và kiểm soát. Doanh nghiệp cần hành động sớm để bảo vệ tài sản số trước những hiểm họa bảo mật mới đang ngày càng phức tạp.
