Uma vulnerabilidade crítica de “clique zero” batizada de EchoLeak permitia a exfiltração de dados confidenciais do Microsoft 365 Copilot sem qualquer interação do usuário. Catalogada como CVE-2025-32711 e com pontuação CVSS de 9,3, a falha já foi corrigida pela Microsoft e incluída no Patch Tuesday de junho. Segundo a Aim Security, responsável pela descoberta, o ataque explora uma violação de escopo em modelos de linguagem (LLM), induzindo o Copilot a combinar conteúdo malicioso com dados internos sensíveis e revelá-los via URLs do Teams e SharePoint.

O ataque ocorre quando um invasor envia um e-mail aparentemente inofensivo a um funcionário. Caso este use o Copilot para analisar um documento, o conteúdo malicioso manipula o LLM, forçando-o a vazar dados do contexto atual. A brecha destaca os riscos inerentes à integração de IA com ferramentas corporativas e reforça a necessidade de controles de segurança mais rígidos para impedir que agentes automatizados processem dados sem validação adequada.

Paralelamente, a CyberArk revelou outra ameaça: o Full-Schema Poisoning (FSP), uma forma avançada de ataque ao Model Context Protocol (MCP). Essa técnica permite que invasores projetem ferramentas aparentemente inofensivas com mensagens de erro maliciosas para enganar o LLM e obter acesso a dados sensíveis. Um exemplo recente foi a exploração de uma integração do GitHub com MCP, que expôs repositórios privados ao manipular problemas públicos.

Ainda mais preocupante é o ataque de revinculação de DNS envolvendo o MCP, no qual um site malicioso engana o navegador para acessar recursos internos, burlando políticas de segurança e exfiltrando dados por meio de conexões SSE. A recomendação é adotar autenticação rígida e validação de origem nas conexões com servidores MCP.