Forskere har opdaget en alvorlig sikkerhedsbrist i Microsofts AI-assistent, Copilot, der kunne gøre det muligt for hackere at stjæle data – helt uden at brugeren gør noget.
Metoden har fået navnet EchoLeak og viser, hvordan kunstig intelligens kan udnyttes på nye og uventede måder.
Det særlige ved EchoLeak er, at angrebet kan gennemføres uden at brugeren klikker på noget eller udfører en handling. I stedet starter det med en e-mail, der ligner en helt almindelig forretningsbesked. Men i teksten er der skjult en kommando, som kun AI-assistenten forstår.
Når brugeren senere bruger Copilot til at stille et spørgsmål – for eksempel om et projekt – kan den tidligere modtagne e-mail blive læst af systemet som en del af svaret. Her bliver den skjulte kommando aktiveret, og Copilot kan uforvarende sende interne oplysninger videre til en ekstern server.
Sådan virker EchoLeak
Angrebet udnytter en teknik, hvor den kunstige intelligens bliver “snydt” til at dele data. Det sker gennem en metode kaldet prompt injection, som lægger en skjult instruktion i en e-mail. Fordi den er skrevet som en normal besked, går den uden om Microsofts forsvarssystemer. Hele teknikken er forklaret i et omfattende dokument fra Aim Labs.
Når e-mailen bliver brugt som reference til et spørgsmål i Copilot, bliver kommandoen aktiveret, og AI’en svarer med data, som er gemt i organisationens system – for eksempel fra dokumenter eller Teams-samtaler. Dataene sendes derefter videre gennem et link eller billede, der automatisk bliver hentet af brugerens browser.
Microsoft har bekræftet problemet og tildelt det et officielt CVE-nummer (CVE-2025-32711), hvilket markerer det som en kritisk sårbarhed. Fejlen blev rettet i maj 2025, og der er ifølge Microsoft ingen tegn på, at nogen brugere har været ramt i praksis.
Men sårbarheden rejser bekymringer, fordi det viser, hvordan fremtidens AI-værktøjer kan misbruges – selv når brugeren ikke foretager sig noget forkert.
Hvad kan virksomheder gøre?
Eksperterne bag opdagelsen, Aim Labs, anbefaler flere forholdsregler:
- Filtrér og kontroller input til AI’en, så skjulte kommandoer ikke kan snige sig ind.
- Begræns AI’ens adgang til kun de data, der er nødvendige.
- Sørg for, at AI-svar ikke automatisk indeholder links eller billeder med skjult data.
- Justér AI’ens søgemotor (RAG-systemet), så den ikke henter potentielt skadeligt indhold.
I Danmark bruger mange virksomheder allerede Microsoft 365 med Copilot. EchoLeak bør derfor være en påmindelse om, at AI kræver nye typer sikkerhedsovervågning. Det handler ikke kun om traditionelle virus eller phishing-mails – men også om, hvordan AI kan påvirkes i baggrunden uden brugerens viden.
