随着人工智能技术的迅猛发展,微软365 Copilot作为基于检索增强生成模型(RAG)的智能助手,极大地提升了办公效率和用户体验。然而,Aim Labs研究团队于2025年6月发现了名为EchoLeak的致命零点击AI漏洞,该漏洞允许攻击者无需任何用户交互,即可悄无声息地从微软365 Copilot的上下文环境中自动窃取敏感数据。这一发现不仅揭示了现有AI安全机制的不足,也揭示了新一代AI应用所面临的前所未有的安全挑战。 EchoLeak漏洞的核心概念是“LLM范围违规”(LLM Scope Violation),这是一种新的攻击范式,攻击者通过发送伪装成正常邮件的恶意内容,诱使大语言模型(LLM)访问并泄露本应受限的组织内部敏感信息。这种攻击不仅绕过了微软内部部署的多重防护机制,如跨提示注入攻击(XPIA)分类器和链接过滤,还利用了RAG模型设计中对外部异构数据处理的固有弱点。微软365 Copilot作为微软生态系统中高度集成的智能助手,通过调用Microsoft Graph接口访问用户的邮箱、OneDrive、SharePoint及Teams聊天记录等多种数据源,旨在为用户提供精准的业务支持和信息检索服务。
虽然其权限设计限定用户只能访问自身有权限的数据,但EchoLeak利用隐晦的指令注入技术,使得LMM在处理邮件内容时,跨越了正常权限边界,泄漏了原本不应暴露的关键信息。这一过程无需用户任何点击或操作,攻击者仅凭一封巧妙构造的邮件即可发动攻击,极大地扩大了潜在风险的影响面。 该攻击链由多个漏洞相互叠加构成,其中包括对XPIA防护的绕过、链接及图片的重定向规避以及内容安全策略(CSP)的突破。传统的防护设计如禁止可疑链接的显示和执行,在面对高级复杂的引用式Markdown写法时失效,令恶意指令得以隐藏并顺利传达至LMM内部。尤其是在绕过浏览器图片加载限制后,结合通过SharePoint和微软Teams等受信域名的代理请求,攻击者能够实现无用户交互的数据外泄,达成真正的零点击攻击效果。值得关注的是,EchoLeak漏洞展示了AI模型提示注入的新形式,即间接提示注入。
攻击邮件内容并不直接呼叫AI或Copilot实体,而是伪装成常规邮件指令,使得传统的恶意内容检测模型难以分辨和拦截。Aim Labs团队建议,保护AI应用的提示注入防御需要更加精细化和分层的检测策略,以识别和阻止此类突破“最小权限原则”的指令执行。 针对EchoLeak的防护策略,微软已经采取了多项措施,包括利用数据丢失防护(DLP)标签将外部邮件排除在Copilot处理范围之外,新增邮件敏感度标签限制以及增强用户权限管理机制。然而,这些防御手段虽有效减少了漏洞利用风险,但也不可避免地影响了Copilot的功能灵活性和用户体验。此外,Aim Labs还开发了实时防护策略,能够监控并阻断潜在的LLM范围违规行为,为所有基于大型语言模型和RAG框架的AI应用提供通用安全防护。 EchoLeak事件为AI安全领域提供了宝贵的警示,传统网络安全策略难以完全覆盖AI系统的复杂威胁,尤其是在自然语言处理模型与企业数据深度结合的场景中,攻击面显著扩大。
企业应当认识到AI安全不是单一产品的问题,而是涵盖数据权限管理、模型输入验证、异常行为检测及用户习惯引导的多维度挑战。应积极跟踪并应用最新的AI安全研究成果,定期审计涉及AI交互的数据流及访问权限,防止潜在的敏感信息外泄。 EchoLeak还表明,未来的AI系统设计应当从根本上强化“最小权限原则”在模型推理过程中的执行,确保模型只能处理并暴露用户明确授权的数据,同时增强对外部输入的结构化滤波,降低不可信信息干扰和远程操控的可能。与此同时,安全厂商及开发者必须持续完善异常输入识别技术和实时响应机制,以构建可信赖的智能助手生态。 下游影响方面,EchoLeak不仅限于微软365 Copilot,其核心漏洞原理在其他RAG架构的AI助手和聊天机器人中同样适用。随着基于LLM的智能代理广泛应用于客服、医疗、金融等敏感行业,相关风险急剧攀升。
企业应及早开展基于风险评估的安全策略调整,加强基础设施安全、部署先进的威胁检测平台,并培养具备AI安全专业技能的团队以应对日趋复杂的漏洞攻击。 展望未来,EchoLeak鼓励学界和业界共同探索细粒度AI安全防护模型,结合形式化验证与机器学习自动检测,加强多层次防御体系建设。无论是算法优化、权限架构还是用户操作策略,均需持续创新适应AI时代的安全需求。最终目标是实现在保证智能辅助体验的同时,最大限度降低AI系统带来的安全隐患。 总结来看,EchoLeak揭示了当前大型语言模型与企业级数据融合过程中的安全风险,提醒业界关注零点击攻击可能引发的信息泄露灾难。正视“LLM范围违规”这一新型攻击路径,有助于推动AI安全框架的升级和转型,保障未来智慧办公环境的健康发展。
作为企业和研发者,应持续关注领先研究成果,积极布局防护技术,为智能化时代的数字安全筑起坚实屏障。
![HBO Max Movie Mountainhead is now real [video]](/images/ADE7320B-5543-4D88-B376-DFE6EE84209D)
