Por que um documento malicioso pode exfiltrar silenciosamente tudo o que meu assistente sabe sobre mim?

Em junho de 2025, a Aim Security divulgou o EchoLeak, a primeira injeção de prompt zero-click documentada que causou exfiltração real de dados de um sistema de IA em produção. Um único e-mail malicioso fez o Microsoft Copilot transmitir silenciosamente dados sensíveis sem qualquer interação do usuário. O problema estrutural é que assistentes de IA com memória persistente e acesso a chamadas de ferramentas combinam duas propriedades perigosas. Eles acumulam contexto pessoal e podem ser induzidos a agir com base em instruções embutidas em conteúdo não confiável. Cada novo documento, e-mail ou página da web que o assistente lê é uma potencial superfície de instrução. Não existe uma fronteira de isolamento entre a memória que o usuário confia ao assistente e as instruções que ele segue de conteúdo externo, e as propostas atuais de sandboxing tratam de chamadas de ferramentas, mas não do acesso de leitura à memória.