Pesquisadores de segurança revelaram uma vulnerabilidade curiosa e perigosa no Microsoft 365 Copilot, a ferramenta de inteligência artificial integrada ao pacote Office.
O problema? Hackers descobriram como “convencer” o Copilot a roubar dados confidenciais das próprias empresas que o utilizam.
A falha, rastreada em uma investigação recente, envolvia uma técnica de injeção indireta de prompt (indirect prompt injection), em que comandos maliciosos são escondidos dentro de documentos aparentemente legítimos.
Quando o Copilot era solicitado a resumir um arquivo infectado, ele seguia instruções ocultas e passava a agir contra o usuário buscando e-mails corporativos recentes, codificando-os em hexadecimal e construindo um diagrama falso de login com os dados embutidos.
Ao clicar nesse diagrama, a vítima enviava as informações sensíveis diretamente para o servidor do invasor.
O truque: como o ataque enganava a IA da Microsoft
O ataque explorava uma função legítima do Copilot: a criação de diagramas Mermaid, que transformam texto simples em gráficos e fluxogramas.
Os invasores aproveitaram esse recurso para esconder links e CSS maliciosos dentro desses diagramas.
A sequência era engenhosa:
- O Copilot lia o documento e executava as instruções invisíveis em texto branco.
- Ele buscava e-mails recentes do usuário, transformava tudo em uma sequência codificada e montava um “botão de login” falso dentro do diagrama.
- Esse botão incluía um link disfarçado, apontando para um servidor controlado pelos hackers.
- Quando o usuário clicava, o navegador enviava os dados codificados pela URL sem que nada parecesse errado.
Para tornar o golpe mais convincente, o servidor do invasor até devolvia uma falsa tela de login da Microsoft 365, dando a impressão de que o acesso havia expirado.
Por que essa falha é diferente
A chamada injeção indireta de prompt é uma evolução da tradicional manipulação de IA.
Em vez de enviar comandos diretamente para o chatbot, o invasor insere as instruções em conteúdos que a IA confia como planilhas, e-mails ou documentos do Word.
Ou seja, o Copilot foi instruído a se sabotar, acreditando que estava apenas resumindo ou processando um arquivo.
Os pesquisadores identificaram duas camadas de ataque:
- A primeira escondia instruções em uma planilha do Excel, pedindo ao Copilot para “ignorar os dados financeiros”.
- A segunda, invisível ao usuário, ordenava a busca por e-mails e a criação do diagrama malicioso com o link de exfiltração.
A resposta da Microsoft
Após a divulgação responsável da falha, a Microsoft confirmou o problema e lançou uma atualização emergencial para o Copilot.
O patch desativa elementos interativos, como links clicáveis e CSS personalizados em diagramas Mermaid, eliminando o vetor usado pelos hackers.
A empresa também orientou os usuários corporativos a:
- Evitar resumir documentos de fontes desconhecidas ou externas;
- Atualizar o Microsoft 365 Copilot e suas integrações imediatamente;
- Reforçar políticas de revisão de conteúdo automatizado antes do uso em ambientes produtivos.
Por que isso importa para o futuro da IA corporativa
O caso mostra o novo tipo de desafio que surge com o uso de assistentes de IA em empresas.
Essas ferramentas lidam com informações sigilosas e, se exploradas, podem se tornar um canal invisível de exfiltração de dados.
A exploração via prompt injection já foi observada em outros sistemas baseados em linguagem natural, mas a injeção indireta eleva o risco porque a IA acredita estar apenas executando suas funções normais.
Em outras palavras, o ataque não engana o humano. Ele engana a IA. Com o Copilot agora corrigido, o incidente serve como alerta: quanto mais inteligentes se tornam as ferramentas, mais criativos se tornam os ataques.
O futuro da cibersegurança dependerá não apenas de patches, mas de compreender que a IA precisa de segurança tanto quanto qualquer sistema tradicional.
