Rentan Eksploitasi, Copilot Enterprise Bisa Bocorkan Data Via Satu Klik

Telset.id – Kerentanan keamanan pada chatbot AI kembali terungkap. Microsoft Copilot Enterprise, asisten AI untuk kalangan bisnis, ditemukan memiliki celah kritis yang memungkinkan peretas mengekstrak data sensitif hanya dengan satu klik dari korban.

Insiden ini terjadi hanya beberapa pekan setelah Meta’s AI chatbot support feature mengalami masalah serupa. Dalam kasus Microsoft, celah ini ditemukan oleh peneliti keamanan siber dari firma Varonis. Mereka berhasil mengubah Copilot Enterprise menjadi “one-click data exfiltration weapon” atau senjata pencurian data dalam satu klik.

Microsoft memberikan peringkat kerentanan ini sebagai “max severity: critical” dan telah merilis patch untuk memperbaikinya, seperti dikutip dari laporan Varonis dan Ars Technica.

Metode Eksploitasi: Parameter-to-Prompt Injection

Metode yang digunakan para peneliti disebut parameter-to-prompt (P2P) injection. Teknik ini merupakan varian dari prompt injection, yaitu serangan yang memanipulasi Large Language Model (LLM) dengan input teks yang menipu.

Dalam P2P injection, perintah berbahaya tidak ditempelkan langsung di teks prompt, melainkan disembunyikan di “query parameter”—pengaturan konfigurasi yang menentukan bagaimana LLM memproses prompt untuk menghasilkan respons.

Peneliti Varonis menjelaskan bahwa untuk mengeksekusi serangan, seorang peretas cukup membuat URL yang memerintahkan Copilot untuk mencari email pengguna, mengekstrak judulnya, lalu menyematkannya ke dalam URL gambar. “Korban tidak mengetik apa pun. Mereka mengklik tautan, dan Copilot melakukan sisanya,” tulis perusahaan tersebut.

Serangan ini memanfaatkan fakta bahwa alamat bing.com masuk dalam daftar putih (whitelist) Microsoft, sehingga perintah berbahaya yang disematkan di URL Bing bisa lolos dari filter keamanan. Alhasil, browser Bing milik Microsoft dipaksa untuk “melakukan pekerjaan kotor” tersebut.

Dampak Serius bagi Data Perusahaan

Kerentanan ini menjadi sangat berbahaya karena Copilot Enterprise beroperasi dengan izin penuh (full graph permissions) dari pengguna. “Penyerang secara efektif mewarisi akses korban ke data organisasi, tanpa pernah melakukan autentikasi,” demikian peringatan dari Varonis.

Akibatnya, peretas bisa mengakses komunikasi rahasia dan bahkan mengaktifkan multi-factor authentication (MFA) atau two-factor authentication (2FA) untuk layanan apa pun. Karena serangan ini menargetkan Enterprise tier Microsoft, dampaknya tidak terbatas pada data pribadi.

“Radius ledakan (blast radius) tidak terbatas pada data pribadi—ia mampu menampilkan apa pun yang bisa diakses pengguna di dalam organisasi, termasuk email, undangan rapat, dan catatan,” tulis Varonis. Mereka menambahkan bahwa tergantung pada bagaimana M365 terhubung ke lingkungan perusahaan, radius ledakan bisa meluas lebih jauh lagi.

Insiden ini menjadi pengingat bahwa mengandalkan AI untuk tugas keamanan siber bisa dengan mudah mengekspos data pelanggan yang sensitif. Microsoft sendiri telah bergerak cepat dengan merilis patch untuk menutup celah tersebut.

Kasus ini juga memperkuat kekhawatiran tentang keamanan AI lokal yang terintegrasi dengan ekosistem perusahaan. Semakin luas izin yang diberikan ke asisten AI, semakin besar pula potensi penyalahgunaan jika celah keamanan ditemukan.

Bagi pengguna enterprise, insiden ini menekankan pentingnya verifikasi tautan sebelum diklik, meskipun tautan tersebut berasal dari domain milik Microsoft sendiri. Satu klik saja sudah cukup untuk membocorkan seluruh data organisasi.

Microsoft sendiri belum memberikan komentar resmi lebih lanjut selain mengonfirmasi bahwa patch Juni 2026 telah menutup kerentanan kritis ini. Namun, temuan Varonis menunjukkan bahwa ancaman terhadap keamanan data perusahaan melalui asisten AI masih jauh dari selesai.