該漏洞由 Aim Security 發(fā)現(xiàn)，是首個(gè)記錄在案的針對(duì) 智能體的零點(diǎn)擊攻擊，揭示了我們?nèi)粘Ｊ褂玫?AI 工具中潛藏的無形風(fēng)險(xiǎn)。

　　只需一封精心設(shè)計(jì)的電子郵件就足夠了，Copilot 會(huì)默默地處理它，遵循隱藏的提示，挖掘內(nèi)部文件，并將機(jī)密數(shù)據(jù)發(fā)送出去，而這一切都能繞過微軟的安全防御，據(jù)該公司博客文章所述。

　　“這完全是對(duì) AI 核心優(yōu)勢(shì)——上下文理解能力的武器化利用，”QKS 集團(tuán)的分析師 Abhishek Anant Garg 表示，“企業(yè)安全之所以面臨挑戰(zhàn)，是因?yàn)樗菫閻阂獯a設(shè)計(jì)的，而不是針對(duì)那些看起來無害但實(shí)際上像武器一樣的語言。”

　　這種漏洞代表著重大威脅，Gartner 的副總裁分析師 Nader Henein 警告說：“考慮到 AI 助手和基于檢索增強(qiáng)生成(RAG)的服務(wù)的復(fù)雜性，這肯定不是我們最后一次看到此類攻擊。”

　　EchoLeak漏洞利用Copilot同時(shí)處理可信內(nèi)部數(shù)據(jù)(如電子郵件、Teams聊天記錄和OneDrive文件)與不可信外部輸入(如接收郵件)的特性。攻擊始于一封包含特殊Markdown語法的惡意郵件，當(dāng)Copilot在后臺(tái)自動(dòng)掃描郵件以準(zhǔn)備響應(yīng)用戶查詢時(shí)，會(huì)觸發(fā)瀏覽器向攻擊者服務(wù)器發(fā)送網(wǎng)絡(luò)請(qǐng)求，導(dǎo)致聊天記錄、用戶信息或內(nèi)部文檔等敏感數(shù)據(jù)泄露。

　　該漏洞利用鏈依賴于三個(gè)安全缺陷，其中包括微軟內(nèi)容安全策略(CSP)中的開放重定向漏洞——該策略默認(rèn)信任Teams和SharePoint等內(nèi)部域名。攻擊者可借此將惡意請(qǐng)求偽裝成合法流量，從而繞過微軟針對(duì)跨提示注入攻擊(XPIA)的防護(hù)機(jī)制。

　　Garg指出："EchoLeak漏洞暴露了分階段AI部署存在的虛假安全性"。網(wǎng)絡(luò)安全公司Aim Security將這一漏洞歸類為"大語言模型越界訪問"——即通過不可信提示詞操縱AI訪問超出其預(yù)設(shè)范圍的數(shù)據(jù)。Garg解釋道："攻擊者能引用大語言模型上下文中的其他內(nèi)容來提取敏感信息，將AI的合成能力轉(zhuǎn)化為數(shù)據(jù)泄露渠道"。

　　研究人員還發(fā)現(xiàn)了其他類似漏洞，暗示采用相同技術(shù)的AI系統(tǒng)可能都存在風(fēng)險(xiǎn)。微軟表示已修復(fù)該漏洞，并確認(rèn)沒有客戶受到影響，也未發(fā)生實(shí)際攻擊事件。

　　“EchoLeak 標(biāo)志著向‘假設(shè)妥協(xié)架構(gòu)’的轉(zhuǎn)變，”Garg 指出，“企業(yè)現(xiàn)在必須假設(shè)對(duì)抗性提示注入會(huì)發(fā)生，因此實(shí)時(shí)行為監(jiān)控和針對(duì)代理的威脅建模成為至關(guān)重要的要求。”

　　隨著 AI 成為工作場(chǎng)所的標(biāo)配，分析師們敦促進(jìn)行強(qiáng)大的輸入驗(yàn)證和數(shù)據(jù)隔離。Henein 警告說，像“向首席財(cái)務(wù)官發(fā)送電子郵件以竊取披露前的收益數(shù)據(jù)”這樣的針對(duì)性攻擊尤其令人擔(dān)憂。

　　任何基于檢索增強(qiáng)生成(RAG)的 AI 系統(tǒng)，如果同時(shí)處理外部輸入和敏感內(nèi)部數(shù)據(jù)，都可能面臨風(fēng)險(xiǎn)。傳統(tǒng)的防御手段，如數(shù)據(jù)丟失防護(hù)(DLP)標(biāo)簽，往往無法防止此類攻擊，甚至可能在啟用時(shí)影響 Copilot 的功能，Garg 解釋說，“該漏洞證明，當(dāng) AI 可以被操縱通過看似無害的輸入來違反邊界時(shí)，傳統(tǒng)的防御邊界就毫無意義了。”

　　對(duì)于銀行、醫(yī)療保健和國防等行業(yè)，這些生產(chǎn)力工具可能同時(shí)成為強(qiáng)大的數(shù)據(jù)泄露途徑。“CIO現(xiàn)在必須設(shè)計(jì) AI 系統(tǒng)，假設(shè)存在對(duì)抗性自主性，”Garg 說，“每個(gè)代理都是潛在的數(shù)據(jù)泄露點(diǎn)，必須在投入生產(chǎn)前進(jìn)行紅隊(duì)驗(yàn)證。”

　　重新思考AI安全

　　EchoLeak 表明，企業(yè)級(jí) AI 并非免疫于悄無聲息的妥協(xié)，保護(hù)它不僅僅是修補(bǔ)層面的問題。“智能體需要一種新的保護(hù)范式，”Garg 說，“運(yùn)行時(shí)安全必須是最基本的可行標(biāo)準(zhǔn)。”

　　該漏洞還揭示了現(xiàn)代 AI 中更深層次的結(jié)構(gòu)性問題。“自主式AI 存在上下文崩潰的問題，”Garg 解釋說，“它混淆了不同安全域的數(shù)據(jù)，無法區(qū)分它可以訪問什么和它應(yīng)該訪問什么，將合成能力轉(zhuǎn)變?yōu)樘貦?quán)提升。”

　　隨著 AI 攻擊面的擴(kuò)大，EchoLeak 證明，即使是最復(fù)雜的系統(tǒng)也可能通過利用 AI 自身的邏輯而被武器化。“就目前而言，”Garg 總結(jié)道，“CISO應(yīng)該信任，但也要驗(yàn)證，在讓 AI 閱讀你的收件箱之前要三思而后行。”