کمیته رکن چهارم – پژوهشگران امنیتی شرکت Aim Security از کشف آسیبپذیری خطرناکی در Microsoft 365 Copilot خبر دادند که بدون نیاز به هیچ کلیک یا تعامل کاربر، میتواند اطلاعات حساس را افشا کند. این نقص با عنوان «EchoLeak» و شناسه CVE-2025-32711 ثبت شده و امتیاز خطر ۹.۳ به آن اختصاص یافته است.
به گزارش کمیته رکن چهارم، این آسیبپذیری از نوع تزریق فرمان به مدلهای زبانی بزرگ (LLM) است و به مهاجم اجازه میدهد از طریق ایمیل ساده، Copilot را فریب داده و به دادههای کاربر دست یابد. در یک حمله کامل، اطلاعات در قالب لینک یا تصویر مخفی به دامنههای خارجی منتقل میشود—بدون اینکه قربانی حتی کلیک کند.
این آسیبپذیری با شناسه CVE-2025-32711 ثبت شده و امتیاز خطر ۹.۳ دارد. با وجود رفع این نقص توسط مایکروسافت، متخصصان امنیتی هشدار میدهند که لازم است تنظیمات Copilot بازبینی شود—از جمله محدودسازی پردازش ایمیلهای خارجی و استفاده از سیاستهای جلوگیری از نشت داده (DLP).
این ماجرا نشان میدهد که حتی ابزارهای هوش مصنوعی قدرتمند نیز اگر بهدرستی ایمنسازی نشوند، میتوانند درگاههای جدیدی برای نفوذ و استخراج دادهها باز کنند.
