EchoLeak (CVE-2025-32711): A Vulnerabilidade Zero-Click Que Revela uma Falha no Próprio RAG de IA

Imagine receber um e-mail que você nunca abre. Nenhum anexo em que você clica, nenhum link que você segue. O e-mail simplesmente chega à sua caixa de entrada e, em algum lugar em segundo plano, seu assistente de IA lê silenciosamente, herda as instruções contidas nele e começa a exfiltrar dados sensíveis da sua organização para um servidor externo. Sem prompt. Sem aviso. Sem nenhum rastro de interação do usuário. Isso não é um experimento mental: é exatamente o que os pesquisadores da Aim Labs documentaram em janeiro de 2025 ao descobrir o CVE-2025-32711, a vulnerabilidade hoje conhecida como EchoLeak.

O que o EchoLeak Realmente Fez (e Como)

De acordo com o estudo de caso acadêmico publicado no arXiv, o EchoLeak é o primeiro exploit de injeção de prompt zero-click confirmado em um sistema de modelo de linguagem grande em produção. A vulnerabilidade existia dentro do Microsoft 365 Copilot, o assistente de IA que extrai contexto dos e-mails, arquivos e calendário do usuário por meio de uma arquitetura de Geração Aumentada por Recuperação (RAG). RAG é o padrão de design em que o modelo busca dados em tempo real do seu ambiente para responder perguntas: útil na teoria, perigoso na prática quando os dados recuperados podem conter instruções que o modelo obedece.

A cadeia de ataque, conforme detalhada pelo artigo do arXiv, funcionou encadeando quatro bypasses distintos em sequência. Primeiro, o payload malicioso escapou do classificador XPIA (Cross Prompt Injection Attempt) da Microsoft, exatamente a defesa criada para detectar essa categoria de ameaça. Segundo, ele contornou a redação de links usando formatação Markdown em estilo de referência, um truque sintático que o sanitizador não detectou. Terceiro, explorou o comportamento do Copilot de buscar imagens automaticamente, fazendo com que o modelo realizasse uma requisição de saída carregando dados exfiltrados. Quarto, abusou de um proxy do Microsoft Teams que era permitido pela política de segurança de conteúdo, fornecendo ao canal de exfiltração um ponto de saída com aparência confiável. O resultado, segundo o artigo, foi uma escalada completa de privilégios através dos limites de confiança do LLM sem qualquer interação do usuário.

O BleepingComputer reportou que a Aim Labs divulgou suas descobertas à Microsoft, que atribuiu o identificador CVE-2025-32711 e classificou a falha como crítica. A Microsoft lançou um patch do lado do servidor em maio de 2026, o que significa que nenhuma ação do usuário foi necessária para receber a correção. A Microsoft também informou, conforme o BleepingComputer, que não há evidências de exploração no mundo real.

A Parte que o Patch Não Corrige

É aqui que a história se torna mais interessante do que a narrativa padrão de "patch aplicado, crise resolvida". Como explica a análise de CVE da Rescana, embora a remediação do lado do servidor da Microsoft tenha tratado o caminho de exploit específico no Copilot, a classe subjacente de risco persiste para qualquer organização que utilize um assistente de IA baseado em RAG.

O mecanismo que o EchoLeak explorou — especificamente a injeção de prompt combinada com herança de contexto — não é um bug que a Microsoft introduziu descuidadamente em um único produto. É uma consequência de como os sistemas RAG são projetados para funcionar: eles são construídos para confiar no conteúdo que recuperam, porque esse conteúdo deve ser um contexto útil. Quando conteúdo externo pode conter instruções adversariais, essa confiança se torna uma superfície de ataque.

A análise da vulnerabilidade pelo Hack The Box descreve o problema central com clareza: o Copilot tem permissão para responder ao conteúdo de documentos e e-mails que recupera, e um documento malicioso entregue a esse contexto é tratado como entrada legítima. O modelo não tem uma maneira confiável de distinguir entre "dados que me pediram para resumir" e "instruções que me disseram para seguir". Esse é o problema de injeção de prompt, e ele antecede qualquer CVE específico por anos de avisos acadêmicos.

O artigo do arXiv extrai a lição mais ampla diretamente: os pesquisadores descrevem mitigações de engenharia incluindo particionamento de prompt, filtragem aprimorada de entrada e saída, controle de acesso baseado em proveniência e políticas rígidas de segurança de conteúdo. Não são patches para um único produto; são princípios de design para qualquer pessoa que esteja construindo ou implantando um assistente de IA que toque dados organizacionais reais. O artigo enquadra explicitamente a injeção de prompt como uma classe de vulnerabilidade prática e de alta gravidade em sistemas de IA em produção, não uma curiosidade teórica.

O que Isso Significa para Quem Está Construindo ou Usando Ferramentas de IA

A Checkmarx enquadrou o EchoLeak como evidência de que a segurança de IA é genuinamente desafiadora de maneiras que diferem da segurança de software tradicional. O problema não é apenas que uma implementação específica tinha um bug. É que o modelo de confiança que os assistentes de IA precisam para ser úteis está estruturalmente em tensão com o modelo de confiança que a segurança exige para ser segura.

Cada implantação RAG que busca conteúdo não confiável e o passa para um LLM compartilha alguma versão dessa superfície. A análise da vulnerabilidade pela Trend Micro enfatiza o aspecto preventivo: as organizações podem reduzir a exposição auditando quais fontes de dados seus assistentes de IA têm permissão de acessar, aplicando o princípio do menor privilégio às permissões dos agentes de IA, monitorando os outputs do Copilot em busca de padrões de recuperação anômalos e tratando documentos legíveis por IA com o mesmo ceticismo aplicado a anexos executáveis. Essas são práticas aprendíveis e aplicáveis, não contramedidas exóticas.

Para estudantes e construtores, o EchoLeak é genuinamente instrutivo porque demonstra que proteger um sistema de IA requer pensar sobre os limites de confiança do modelo, não apenas seu perímetro. Um firewall não ajuda quando a ameaça está dentro da janela de contexto.

O patch que a Microsoft implantou em maio de 2026 fecha uma porta específica. Entender por que essa porta existia em primeiro lugar é o que prepara você para a próxima. A injeção de prompt como classe de vulnerabilidade vai aparecer onde quer que assistentes de IA tenham acesso a dados organizacionais, e essa categoria de implantação só está crescendo. A pergunta certa a fazer sobre qualquer ferramenta baseada em RAG que você adotar não é se ela foi corrigida, mas se foi arquitetada com conteúdo adversarial em mente.