EchoLeak (CVE-2025-32711): Kerentanan Zero-Click yang Mengungkap Cacat Mendasar pada AI Berbasis RAG

Bayangkan menerima sebuah email yang tidak pernah kamu buka. Tidak ada lampiran yang kamu klik, tidak ada tautan yang kamu ikuti. Email itu cukup masuk ke kotak masukmu, dan di suatu tempat di latar belakang, asisten AI-mu diam-diam membacanya, mewarisi instruksinya, dan mulai mengeksfiltrasi data sensitif organisasimu ke server eksternal. Tanpa prompt. Tanpa peringatan. Tanpa jejak interaksi pengguna. Itu bukan sekadar eksperimen pikiran: itulah yang persis didokumentasikan oleh peneliti Aim Labs pada Januari 2025 ketika mereka menemukan CVE-2025-32711, kerentanan yang kini dikenal sebagai EchoLeak.

Apa yang Sebenarnya Dilakukan EchoLeak (dan Bagaimana Caranya)

Menurut studi kasus akademis yang diterbitkan di arXiv, EchoLeak adalah eksploitasi prompt injection zero-click pertama yang terkonfirmasi dalam sistem large language model yang sudah berjalan di lingkungan produksi. Kerentanan ini bersarang di dalam Microsoft 365 Copilot, asisten AI yang mengambil konteks dari email, file, dan kalender pengguna melalui arsitektur Retrieval Augmented Generation (RAG). RAG adalah pola desain di mana model mengambil data langsung dari lingkunganmu untuk menjawab pertanyaan: berguna secara teori, namun berbahaya dalam praktiknya ketika data yang diambil tersebut bisa mengandung instruksi yang dipatuhi oleh model.

Rantai serangan, sebagaimana dirinci dalam makalah arXiv, bekerja dengan merangkai empat bypass berbeda secara berurutan. Pertama, muatan berbahaya berhasil menghindari pengklasifikasi XPIA (Cross Prompt Injection Attempt) milik Microsoft, yaitu pertahanan yang justru dibangun untuk menangkap kategori ancaman ini. Kedua, serangan ini mengelabui penyuntingan tautan dengan menggunakan format Markdown bergaya referensi, sebuah trik sintaksis yang tidak tertangkap oleh sanitizer. Ketiga, eksploitasi ini memanfaatkan perilaku Copilot yang secara otomatis mengambil gambar, sehingga menyebabkan model membuat permintaan keluar yang membawa data yang telah dieksfiltrasi. Keempat, serangan ini menyalahgunakan proxy Microsoft Teams yang diizinkan oleh kebijakan keamanan konten, sehingga memberikan saluran eksfiltrasi sebuah titik keluar yang terlihat tepercaya. Hasilnya, menurut makalah tersebut, adalah eskalasi hak akses penuh melintasi batas kepercayaan LLM tanpa interaksi pengguna sama sekali.

BleepingComputer melaporkan bahwa Aim Labs mengungkapkan temuan mereka kepada Microsoft, yang kemudian menetapkan pengenal CVE-2025-32711 dan menilai kelemahan ini sebagai kritis. Microsoft merilis patch sisi server pada Mei 2026, yang berarti tidak ada tindakan pengguna yang diperlukan untuk menerima perbaikan tersebut. Microsoft juga mencatat, menurut BleepingComputer, bahwa tidak ada bukti eksploitasi di dunia nyata.

Bagian yang Tidak Diperbaiki oleh Patch

Di sinilah ceritanya menjadi lebih menarik dari sekadar narasi standar "patch diterapkan, krisis teratasi". Sebagaimana dijelaskan oleh analisis CVE dari Rescana, meskipun remediasi sisi server Microsoft mengatasi jalur eksploitasi spesifik di Copilot, kelas risiko yang mendasarinya tetap ada bagi organisasi mana pun yang menjalankan asisten AI berbasis RAG.

Mekanisme yang dieksploitasi oleh EchoLeak, khususnya prompt injection yang dikombinasikan dengan pewarisan konteks, bukanlah bug yang dimasukkan Microsoft secara ceroboh ke dalam satu produk. Ini adalah konsekuensi dari cara sistem RAG dirancang untuk bekerja: sistem ini dibangun untuk mempercayai konten yang diambilnya, karena konten tersebut seharusnya merupakan konteks yang bermanfaat. Ketika konten eksternal dapat mengandung instruksi yang bersifat adversarial, kepercayaan itu menjadi permukaan serangan.

Uraian kerentanan dari Hack The Box menggambarkan inti masalahnya dengan jelas: Copilot diizinkan untuk merespons konten dalam dokumen dan email yang diambilnya, dan dokumen berbahaya yang dikirimkan ke konteks tersebut diperlakukan sebagai input yang sah. Model tidak memiliki cara yang andal untuk membedakan antara "data yang diminta untuk saya rangkum" dan "instruksi yang diperintahkan untuk saya ikuti." Inilah masalah prompt injection, dan masalah ini sudah ada jauh sebelum CVE apa pun muncul, dengan peringatan akademis yang sudah berlangsung bertahun-tahun.

Makalah arXiv menarik pelajaran yang lebih luas secara langsung: para peneliti menguraikan mitigasi rekayasa yang mencakup partisi prompt, peningkatan penyaringan input dan output, kontrol akses berbasis provenance, dan kebijakan keamanan konten yang ketat. Ini bukan patch untuk satu produk; ini adalah prinsip desain bagi siapa pun yang membangun atau menerapkan asisten AI yang menyentuh data organisasi nyata. Makalah ini secara eksplisit membingkai prompt injection sebagai kelas kerentanan yang praktis dan berseveritas tinggi dalam sistem AI produksi, bukan sekadar keingintahuan teoretis.

Apa Artinya Ini bagi Siapa Saja yang Membangun atau Menggunakan Alat AI

Checkmarx membingkai EchoLeak sebagai bukti bahwa keamanan AI memang menantang dengan cara-cara yang berbeda dari keamanan perangkat lunak tradisional. Masalahnya bukan hanya bahwa implementasi tertentu memiliki bug. Masalahnya adalah bahwa model kepercayaan yang dibutuhkan asisten AI agar berguna secara struktural bertentangan dengan model kepercayaan yang dibutuhkan keamanan agar tetap aman.

Setiap penerapan RAG yang mengambil konten yang tidak tepercaya dan meneruskannya ke LLM berbagi sebagian dari permukaan ini. Analisis kerentanan dari Trend Micro menekankan sudut pandang pencegahan: organisasi dapat mengurangi eksposur dengan mengaudit sumber data apa saja yang diizinkan untuk diakses oleh asisten AI mereka, menerapkan prinsip least privilege pada izin agen AI, memantau output Copilot untuk pola pengambilan yang anomali, dan memperlakukan dokumen yang dapat dibaca AI dengan skeptisisme yang sama seperti yang diterapkan pada lampiran yang dapat dieksekusi. Ini adalah praktik yang bisa dipelajari dan diterapkan, bukan tindakan balasan yang eksotis.

Bagi para pelajar dan pembangun, EchoLeak benar-benar instruktif karena menunjukkan bahwa mengamankan sistem AI mengharuskan kamu memikirkan batas kepercayaan model, bukan hanya perimeternya. Firewall tidak akan membantumu ketika ancaman berada di dalam context window.

Patch yang dirilis Microsoft pada Mei 2026 menutup satu pintu tertentu. Memahami mengapa pintu itu ada sejak awal adalah yang mempersiapkanmu untuk pintu berikutnya. Prompt injection sebagai kelas kerentanan akan muncul di mana pun asisten AI diberi akses ke data organisasi, dan kategori penerapan itu hanya akan terus berkembang.

Pertanyaan yang tepat untuk diajukan pada alat berbasis RAG mana pun yang kamu adopsi bukan apakah alat itu sudah dipatch, melainkan apakah alat itu telah dirancang dengan mempertimbangkan konten yang bersifat adversarial.