Sårbarheten kan i värsta fall göra det möjligt för angripare att få ut känslig information via AI-verktyget Copilot utan att användaren ens klickar på något.
Allvarlig Excel-bugg kan låta Copilot komma åt känslig data
En nyupptäckt sårbarhet i Microsoft Excel har klassats som kritisk av Microsofts säkerhetsteam.
Felet, som registrerats som CVE 2026 26144, kan göra det möjligt för angripare att utnyttja Excel i kombination med AI-funktionen Copilot för att komma åt känslig information.
Säkerhetsbristen beskrivs som ett så kallat cross site scripting problem, där bristfällig hantering av indata kan göra att skadlig kod körs i bakgrunden när innehåll genereras i ett dokument eller på en webbsida.
Dagens PS har tidigare rapporterat att techjättarna i allt högre grad driver utvecklingen mot molnbaserade datorer.
I takt med att operativsystem, lagring och AI-tjänster flyttas från den lokala datorn till leverantörernas servrar förändras också kontrollen över användarnas data och arbetsmiljö.
Enligt Microsofts säkerhetsrådgivning kan ett lyckat angrepp i värsta fall leda till att data skickas ut från ett system utan att användaren märker det.
”En angripare som lyckas utnyttja denna sårbarhet kan potentiellt få Copilot Agent att exfiltrera data via oavsiktlig nätverkstrafik och möjliggöra en så kallad zero click information disclosure attack.” Det skriver Forbes.
Kan ske utan att användaren klickar
Säkerhetsbristen har väckt särskild uppmärksamhet eftersom attacken i vissa fall kan ske utan någon direkt interaktion från användaren.
Dustin Childs, chef för hotanalys vid Trend AI Zero Day Initiative, menar att själva sårbarheten i grunden är relativt enkel men att konsekvenserna kan bli mer omfattande när den kombineras med AI funktioner.
”En angripare kan använda sårbarheten för att få Copilot Agent att skicka ut data från det drabbade systemet.”
Fenomenet kallas ofta zero click attack, vilket innebär att angreppet kan genomföras utan att användaren aktivt öppnar en skadlig fil eller klickar på en länk.
AI-agenter kan öka riskerna
Samtidigt växer användningen av AI-assistenter snabbt i många organisationer.
Verktyg som Copilot används i allt större utsträckning för att analysera data, skriva kod och automatisera arbetsflöden.
Det innebär också att mängden information som AI-system kan nå inom företag ökar.
Säkerhetsexperter varnar därför för att automatiserade AI-agenter i vissa situationer kan skicka vidare känsliga uppgifter utanför organisationens nätverk om de utnyttjas av angripare.
Uppmaning att uppdatera Excel
Microsoft rekommenderar nu användare och organisationer att uppdatera sina system till den senaste versionen av Excel.
Säkerhetsexperter uppmanar också företag att stärka valideringen av användarinmatning och säkerställa att data som visas i webbaserade miljöer hanteras korrekt.
Även om sårbarheten inte klassas som ett så kallat zero day hot visar den hur snabbt nya risker kan uppstå när traditionell programvara kombineras med avancerade AI funktioner.
Missa inte:
Därför dumpar mångmiljardären Nvidia – Dagens PS
Flera experter: Slå till på svenska aktien efter AI-raset – Dagens PS
