全球首例零点击攻击瞄准Microsoft 365 Copilot

该漏洞由 Aim Security 发现，全球是首例首个记录在案的针对 智能体的零点击攻击，揭示了我们日常使用的零点 AI 工具中潜藏的无形风险。

只需一封精心设计的击攻击瞄电子邮件就足够了，Copilot 会默默地处理它
，全球遵循隐藏的首例提示，挖掘内部文件，零点并将机密数据发送出去，击攻击瞄而这一切都能绕过微软的全球安全防御
，建站模板据该公司博客文章所述。首例

“这完全是零点对 AI 核心优势——上下文理解能力的武器化利用，”QKS 集团的击攻击瞄分析师 Abhishek Anant Garg 表示，“企业安全之所以面临挑战 ，全球是首例因为它是为恶意代码设计的
，而不是零点针对那些看起来无害但实际上像武器一样的语言。”

这种漏洞代表着重大威胁
 ，Gartner 的源码库副总裁分析师 Nader Henein 警告说 ：“考虑到 AI 助手和基于检索增强生成(RAG)的服务的复杂性 ，这肯定不是我们最后一次看到此类攻击。”

EchoLeak漏洞利用Copilot同时处理可信内部数据(如电子邮件  、Teams聊天记录和OneDrive文件)与不可信外部输入(如接收邮件)的特性 。攻击始于一封包含特殊Markdown语法的恶意邮件 ，当Copilot在后台自动扫描邮件以准备响应用户查询时，会触发浏览器向攻击者服务器发送网络请求 ，导致聊天记录、用户信息或内部文档等敏感数据泄露 。

该漏洞利用链依赖于三个安全缺陷，其中包括微软内容安全策略(CSP)中的香港云服务器开放重定向漏洞——该策略默认信任Teams和SharePoint等内部域名 。攻击者可借此将恶意请求伪装成合法流量 ，从而绕过微软针对跨提示注入攻击(XPIA)的防护机制 。

Garg指出 ："EchoLeak漏洞暴露了分阶段AI部署存在的虚假安全性"。网络安全公司Aim Security将这一漏洞归类为"大语言模型越界访问"——即通过不可信提示词操纵AI访问超出其预设范围的数据。Garg解释道："攻击者能引用大语言模型上下文中的其他内容来提取敏感信息
，将AI的合成能力转化为数据泄露渠道"。

研究人员还发现了其他类似漏洞，暗示采用相同技术的AI系统可能都存在风险
。微软表示已修复该漏洞，高防服务器并确认没有客户受到影响 ，也未发生实际攻击事件。

“EchoLeak 标志着向‘假设妥协架构’的转变，”Garg 指出 ，“企业现在必须假设对抗性提示注入会发生，因此实时行为监控和针对代理的威胁建模成为至关重要的要求 。”

随着 AI 成为工作场所的标配  ，分析师们敦促进行强大的输入验证和数据隔离
。Henein 警告说，像“向首席财务官发送电子邮件以窃取披露前的收益数据”这样的免费模板针对性攻击尤其令人担忧 。

任何基于检索增强生成(RAG)的 AI 系统，如果同时处理外部输入和敏感内部数据，都可能面临风险 。传统的防御手段 ，如数据丢失防护(DLP)标签，往往无法防止此类攻击，甚至可能在启用时影响 Copilot 的功能 ，Garg 解释说 ，“该漏洞证明
，当 AI 可以被操纵通过看似无害的输入来违反边界时
，传统的亿华云防御边界就毫无意义了
。”

对于银行、医疗保健和国防等行业
，这些生产力工具可能同时成为强大的数据泄露途径 。“CIO现在必须设计 AI 系统，假设存在对抗性自主性，”Garg 说，“每个代理都是潜在的数据泄露点，必须在投入生产前进行红队验证 。”

EchoLeak 表明，企业级 AI 并非免疫于悄无声息的妥协
，保护它不仅仅是修补层面的问题。“智能体需要一种新的保护范式 ，”Garg 说 ，“运行时安全必须是最基本的可行标准。”

该漏洞还揭示了现代 AI 中更深层次的结构性问题。“自主式AI 存在上下文崩溃的问题，”Garg 解释说，“它混淆了不同安全域的数据，无法区分它可以访问什么和它应该访问什么  ，将合成能力转变为特权提升
。”

随着 AI 攻击面的扩大，EchoLeak 证明，即使是最复杂的系统也可能通过利用 AI 自身的逻辑而被武器化 。“就目前而言
，”Garg 总结道
，“CISO应该信任  ，但也要验证 ，在让 AI 阅读你的收件箱之前要三思而后行。”

最新评论