該漏洞由 Aim Security 發(fā)現(xiàn)，是首個記錄在案的針對 智能體的零點擊攻擊，揭示了我們?nèi)粘Ｊ褂玫?AI 工具中潛藏的無形風險。

只需一封精心設(shè)計的電子郵件就足夠了，Copilot 會默默地處理它，遵循隱藏的提示，挖掘內(nèi)部文件，并將機密數(shù)據(jù)發(fā)送出去，而這一切都能繞過微軟的安全防御，據(jù)該公司博客文章所述。

“這完全是對 AI 核心優(yōu)勢——上下文理解能力的武器化利用，”QKS 集團的分析師 Abhishek Anant Garg 表示，“企業(yè)安全之所以面臨挑戰(zhàn)，是因為它是為惡意代碼設(shè)計的，而不是針對那些看起來無害但實際上像武器一樣的語言?！?/p>

這種漏洞代表著重大威脅，Gartner 的副總裁分析師 Nader Henein 警告說：“考慮到 AI 助手和基于檢索增強生成(RAG)的服務(wù)的復(fù)雜性，這肯定不是我們最后一次看到此類攻擊?！?/p>

EchoLeak漏洞利用Copilot同時處理可信內(nèi)部數(shù)據(jù)(如電子郵件、Teams聊天記錄和OneDrive文件)與不可信外部輸入(如接收郵件)的特性。攻擊始于一封包含特殊Markdown語法的惡意郵件，當Copilot在后臺自動掃描郵件以準備響應(yīng)用戶查詢時，會觸發(fā)瀏覽器向攻擊者服務(wù)器發(fā)送網(wǎng)絡(luò)請求，導(dǎo)致聊天記錄、用戶信息或內(nèi)部文檔等敏感數(shù)據(jù)泄露。

該漏洞利用鏈依賴于三個安全缺陷，其中包括微軟內(nèi)容安全策略(CSP)中的開放重定向漏洞——該策略默認信任Teams和SharePoint等內(nèi)部域名。攻擊者可借此將惡意請求偽裝成合法流量，從而繞過微軟針對跨提示注入攻擊(XPIA)的防護機制。

Garg指出："EchoLeak漏洞暴露了分階段AI部署存在的虛假安全性"。網(wǎng)絡(luò)安全公司Aim Security將這一漏洞歸類為"大語言模型越界訪問"——即通過不可信提示詞操縱AI訪問超出其預(yù)設(shè)范圍的數(shù)據(jù)。Garg解釋道："攻擊者能引用大語言模型上下文中的其他內(nèi)容來提取敏感信息，將AI的合成能力轉(zhuǎn)化為數(shù)據(jù)泄露渠道"。

研究人員還發(fā)現(xiàn)了其他類似漏洞，暗示采用相同技術(shù)的AI系統(tǒng)可能都存在風險。微軟表示已修復(fù)該漏洞，并確認沒有客戶受到影響，也未發(fā)生實際攻擊事件。

“EchoLeak 標志著向‘假設(shè)妥協(xié)架構(gòu)’的轉(zhuǎn)變，”Garg 指出，“企業(yè)現(xiàn)在必須假設(shè)對抗性提示注入會發(fā)生，因此實時行為監(jiān)控和針對代理的威脅建模成為至關(guān)重要的要求?！?/p>

隨著 AI 成為工作場所的標配，分析師們敦促進行強大的輸入驗證和數(shù)據(jù)隔離。Henein 警告說，像“向首席財務(wù)官發(fā)送電子郵件以竊取披露前的收益數(shù)據(jù)”這樣的針對性攻擊尤其令人擔憂。

任何基于檢索增強生成(RAG)的 AI 系統(tǒng)，如果同時處理外部輸入和敏感內(nèi)部數(shù)據(jù)，都可能面臨風險。傳統(tǒng)的防御手段，如數(shù)據(jù)丟失防護(DLP)標簽，往往無法防止此類攻擊，甚至可能在啟用時影響 Copilot 的功能，Garg 解釋說，“該漏洞證明，當 AI 可以被操縱通過看似無害的輸入來違反邊界時，傳統(tǒng)的防御邊界就毫無意義了?！?/p>

對于銀行、醫(yī)療保健和國防等行業(yè)，這些生產(chǎn)力工具可能同時成為強大的數(shù)據(jù)泄露途徑?！癈IO現(xiàn)在必須設(shè)計 AI 系統(tǒng)，假設(shè)存在對抗性自主性，”Garg 說，“每個代理都是潛在的數(shù)據(jù)泄露點，必須在投入生產(chǎn)前進行紅隊驗證?！?/p>

重新思考AI安全

EchoLeak 表明，企業(yè)級 AI 并非免疫于悄無聲息的妥協(xié)，保護它不僅僅是修補層面的問題?！爸悄荏w需要一種新的保護范式，”Garg 說，“運行時安全必須是最基本的可行標準。”

該漏洞還揭示了現(xiàn)代 AI 中更深層次的結(jié)構(gòu)性問題?！白灾魇紸I 存在上下文崩潰的問題，”Garg 解釋說，“它混淆了不同安全域的數(shù)據(jù)，無法區(qū)分它可以訪問什么和它應(yīng)該訪問什么，將合成能力轉(zhuǎn)變?yōu)樘貦?quán)提升?！?/p>

隨著 AI 攻擊面的擴大，EchoLeak 證明，即使是最復(fù)雜的系統(tǒng)也可能通過利用 AI 自身的邏輯而被武器化?！熬湍壳岸?，”Garg 總結(jié)道，“CISO應(yīng)該信任，但也要驗證，在讓 AI 閱讀你的收件箱之前要三思而后行?！?/p>