Kerentanan Keamanan Microsoft Copilot: Peringatan Baru tentang Risiko Kebocoran Data AI

Seiring kecerdasan buatan (AI) menjadi bagian dari setiap pekerjaan, mulai dari membantu menulis laporan, membalas email, hingga menganalisis data, pengguna seolah hidup di era kemudahan yang belum pernah ada sebelumnya. Namun, sisi gelap dari kemudahan ini juga mulai muncul, terutama dalam hal keamanan.

Kerentanan keamanan terkini yang dijuluki EchoLeak telah membuat pengguna layanan Microsoft Copilot berisiko mengalami kebocoran data sensitif tanpa mereka mengambil tindakan apa pun.

Ketika AI menjadi kerentanan keamanan

Menurut penelitian Tuoi Tre Online , EchoLeak adalah kerentanan keamanan yang baru saja tercatat dengan kode CVE-2025-32711, yang oleh para ahli dinilai berbahaya pada skala 9,3/10 menurut skala NIST.

Yang mengkhawatirkan para pakar keamanan adalah sifatnya yang "tanpa klik" : penyerang dapat mengeksploitasi data dari Copilot tanpa pengguna harus mengklik, membuka file, atau bahkan mengetahui apa pun yang sedang terjadi.

Ini bukan bug biasa. Tim peneliti di Aim Labs, yang menemukan kerentanan ini, yakin EchoLeak mencerminkan cacat desain umum pada sistem RAG (retrieval-augmented generation) dan AI berbasis agen. Karena Copilot merupakan bagian dari rangkaian aplikasi Microsoft 365 yang menyimpan email, dokumen, spreadsheet, dan jadwal rapat jutaan pengguna, risiko kebocoran data sangat serius.

Masalahnya bukan hanya terletak pada kode spesifiknya, tetapi juga pada cara kerja model bahasa besar (LLM). AI membutuhkan banyak konteks untuk merespons secara akurat, sehingga mereka diberi akses ke sejumlah besar data latar belakang. Tanpa kontrol yang jelas pada input dan output, AI dapat "digerakkan" dengan cara yang tidak disadari oleh pengguna. Hal ini menciptakan jenis "pintu belakang" baru bukan karena cacat dalam kode, tetapi karena AI berperilaku di luar pemahaman manusia.

Microsoft segera merilis patch, dan sejauh ini belum ada laporan kerusakan di dunia nyata. Namun, pelajaran dari EchoLeak jelas: Ketika AI terintegrasi secara mendalam ke dalam sistem yang berfungsi, kesalahan kecil sekalipun dalam cara memahami konteks dapat menimbulkan konsekuensi keamanan yang serius.

Semakin nyaman AI, semakin rapuh data pribadi

Insiden EchoLeak menimbulkan pertanyaan yang mengkhawatirkan: apakah pengguna begitu percaya pada AI sehingga mereka tidak menyadari bahwa mereka dapat dilacak atau informasi pribadi mereka terekspos hanya melalui pesan teks? Kerentanan yang baru ditemukan yang memungkinkan peretas mengekstrak data secara diam-diam tanpa perlu menekan tombol apa pun adalah sesuatu yang dulunya hanya terlihat di film-film fiksi ilmiah, tetapi kini menjadi kenyataan.

Sementara aplikasi AI semakin populer mulai dari asisten virtual seperti Copilot, chatbot di perbankan, pendidikan , hingga platform AI yang menulis konten, memproses email, kebanyakan orang tidak diperingatkan tentang bagaimana data mereka diproses dan disimpan.

"Mengobrol" dengan sistem AI tidak lagi sekadar mengajukan beberapa pertanyaan demi kenyamanan, tetapi juga dapat secara tidak sengaja mengungkapkan lokasi, kebiasaan, emosi, atau bahkan informasi akun Anda.

Di Vietnam, banyak orang yang terbiasa menggunakan AI di ponsel dan komputer tanpa pengetahuan dasar tentang keamanan digital . Banyak orang berbagi informasi pribadi dengan AI karena mereka percaya "itu hanyalah mesin". Namun kenyataannya, di baliknya terdapat sistem yang dapat merekam, mempelajari, dan mengirimkan data ke tempat lain, terutama ketika platform AI tersebut berasal dari pihak ketiga dan belum teruji keamanannya secara ketat.

Untuk membatasi risiko, pengguna tidak harus meninggalkan teknologi, tetapi perlu lebih waspada: mereka harus memeriksa dengan cermat apakah aplikasi AI yang mereka gunakan memiliki sumber yang dapat diandalkan, apakah datanya dienkripsi, dan terutama jangan membagikan informasi sensitif seperti nomor identitas, rekening bank, informasi kesehatan... dengan sistem AI apa pun tanpa diperingatkan secara jelas.

Sama seperti saat internet pertama kali lahir, AI juga perlu waktu untuk menyempurnakannya dan selama waktu itu, pengguna harus menjadi orang pertama yang secara proaktif melindungi diri mereka sendiri.