Microsoft baru saja merilis pembaruan keamanan untuk mengatasi kerentanan kritis yang ditemukan pada fitur Copilot for Microsoft 365. Celah keamanan yang dikenal dengan sebutan 'SearchLeak' ini memungkinkan pihak yang tidak bertanggung jawab untuk mengakses data sensitif pengguna secara ilegal. Kerentanan ini mengeksploitasi fungsi pencarian perusahaan (Enterprise Search) yang terintegrasi di dalam ekosistem Copilot.
Dalam skenario serangan tersebut, pelaku dapat menyusup ke dalam akun mailbox, OneDrive, serta SharePoint milik pengguna. Dengan memanfaatkan celah ini, peretas berpotensi mencuri dokumen internal perusahaan yang bersifat rahasia, detail pertemuan penting, hingga konten email sensitif. Informasi krusial seperti tautan reset kata sandi atau kode otentikasi dua faktor (2FA) juga menjadi target utama dalam eksploitasi ini.
Teknik yang digunakan peretas melibatkan penggunaan domain yang masuk dalam daftar putih (whitelisted) seperti Bing untuk melewati sistem pertahanan standar. Sistem pengamanan yang seharusnya mencegah bot AI mengirim data ke server eksternal berhasil ditembus karena mekanisme penyaringan yang dianggap kurang ketat. Hal ini membuat aktivitas pencurian data terlihat seolah-olah merupakan permintaan sah dari layanan Microsoft sendiri.
Peneliti keamanan mengungkapkan bahwa proses eksfiltrasi data dilakukan dengan membungkus informasi curian menggunakan tag HTML atau markup language. Teknik ini memicu permintaan web (web requests) otomatis menuju server yang dikendalikan oleh peretas. Dengan cara ini, data yang seharusnya tetap berada di dalam lingkungan perusahaan dapat dikirim keluar tanpa terdeteksi oleh protokol keamanan konvensional.
Sebagai respons cepat, Microsoft telah menerapkan patch atau perbaikan sistem untuk menutup celah tersebut. Pengguna maupun administrator sistem tidak perlu melakukan intervensi manual atau konfigurasi tambahan karena pembaruan telah diterapkan secara otomatis di sisi server. Langkah ini diambil untuk memastikan bahwa keamanan data pengguna kembali terlindungi dari ancaman penyalahgunaan fitur AI.
Insiden ini menjadi pengingat keras bagi para pelaku industri mengenai pentingnya pengawasan ketat terhadap integrasi kecerdasan buatan. AI yang memiliki izin luas untuk mengindeks dan merangkum data internal perusahaan memerlukan lapisan keamanan tambahan. Organisasi harus lebih berhati-hati dalam memberikan hak akses kepada sistem AI agar tidak menjadi celah bagi kebocoran data di masa depan.