該漏洞由 Aim Security 發現，是首個記錄在案的針對 智能體的零點擊攻擊，揭示了我們日常使用的 AI 工具中潛藏的無形風險。

只需一封精心設計的電子郵件就足夠了，Copilot 會默默地處理它，遵循隱藏的提示，挖掘內部文件，并將機密數據發送出去，而這一切都能繞過微軟的安全防御，據該公司博客文章所述。

“這完全是對 AI 核心優勢——上下文理解能力的武器化利用，”QKS 集團的分析師 Abhishek Anant Garg 表示，“企業安全之所以面臨挑戰，是因為它是為惡意代碼設計的，而不是針對那些看起來無害但實際上像武器一樣的語言。”

這種漏洞代表著重大威脅，Gartner 的副總裁分析師 Nader Henein 警告說：“考慮到 AI 助手和基于檢索增強生成(RAG)的服務的復雜性，這肯定不是我們最后一次看到此類攻擊。”

EchoLeak漏洞利用Copilot同時處理可信內部數據(如電子郵件、Teams聊天記錄和OneDrive文件)與不可信外部輸入(如接收郵件)的特性。攻擊始于一封包含特殊Markdown語法的惡意郵件，當Copilot在后臺自動掃描郵件以準備響應用戶查詢時，會觸發瀏覽器向攻擊者服務器發送網絡請求，導致聊天記錄、用戶信息或內部文檔等敏感數據泄露。

該漏洞利用鏈依賴于三個安全缺陷，其中包括微軟內容安全策略(CSP)中的開放重定向漏洞——該策略默認信任Teams和SharePoint等內部域名。攻擊者可借此將惡意請求偽裝成合法流量，從而繞過微軟針對跨提示注入攻擊(XPIA)的防護機制。

Garg指出："EchoLeak漏洞暴露了分階段AI部署存在的虛假安全性"。網絡安全公司Aim Security將這一漏洞歸類為"大語言模型越界訪問"——即通過不可信提示詞操縱AI訪問超出其預設范圍的數據。Garg解釋道："攻擊者能引用大語言模型上下文中的其他內容來提取敏感信息，將AI的合成能力轉化為數據泄露渠道"。

研究人員還發現了其他類似漏洞，暗示采用相同技術的AI系統可能都存在風險。微軟表示已修復該漏洞，并確認沒有客戶受到影響，也未發生實際攻擊事件。

“EchoLeak 標志著向‘假設妥協架構’的轉變，”Garg 指出，“企業現在必須假設對抗性提示注入會發生，因此實時行為監控和針對代理的威脅建模成為至關重要的要求。”

隨著 AI 成為工作場所的標配，分析師們敦促進行強大的輸入驗證和數據隔離。Henein 警告說，像“向首席財務官發送電子郵件以竊取披露前的收益數據”這樣的針對性攻擊尤其令人擔憂。

任何基于檢索增強生成(RAG)的 AI 系統，如果同時處理外部輸入和敏感內部數據，都可能面臨風險。傳統的防御手段，如數據丟失防護(DLP)標簽，往往無法防止此類攻擊，甚至可能在啟用時影響 Copilot 的功能，Garg 解釋說，“該漏洞證明，當 AI 可以被操縱通過看似無害的輸入來違反邊界時，傳統的防御邊界就毫無意義了。”

對于銀行、醫療保健和國防等行業，這些生產力工具可能同時成為強大的數據泄露途徑。“CIO現在必須設計 AI 系統，假設存在對抗性自主性，”Garg 說，“每個代理都是潛在的數據泄露點，必須在投入生產前進行紅隊驗證。”

重新思考AI安全

EchoLeak 表明，企業級 AI 并非免疫于悄無聲息的妥協，保護它不僅僅是修補層面的問題。“智能體需要一種新的保護范式，”Garg 說，“運行時安全必須是最基本的可行標準。”

該漏洞還揭示了現代 AI 中更深層次的結構性問題。“自主式AI 存在上下文崩潰的問題，”Garg 解釋說，“它混淆了不同安全域的數據，無法區分它可以訪問什么和它應該訪問什么，將合成能力轉變為特權提升。”

隨著 AI 攻擊面的擴大，EchoLeak 證明，即使是最復雜的系統也可能通過利用 AI 自身的邏輯而被武器化。“就目前而言，”Garg 總結道，“CISO應該信任，但也要驗證，在讓 AI 閱讀你的收件箱之前要三思而后行。”