该漏洞由 Aim Security 发现，是首个记录在案的针对 智能体的零点击攻击，揭示了我们日常使用的 AI 工具中潜藏的无形风险。

只需一封精心设计的电子邮件就足够了，Copilot 会默默地处理它，遵循隐藏的提示，挖掘内部文件，并将机密数据发送出去，而这一切都能绕过微软的安全防御，据该公司博客文章所述。

“这完全是对 AI 核心优势——上下文理解能力的武器化利用，”QKS 集团的分析师 Abhishek Anant Garg 表示，“企业安全之所以面临挑战，是因为它是为恶意代码设计的，而不是针对那些看起来无害但实际上像武器一样的语言。”

这种漏洞代表着重大威胁，Gartner 的副总裁分析师 Nader Henein 警告说：“考虑到 AI 助手和基于检索增强生成(RAG)的服务的复杂性，这肯定不是我们最后一次看到此类攻击。”

EchoLeak漏洞利用Copilot同时处理可信内部数据(如电子邮件、Teams聊天记录和OneDrive文件)与不可信外部输入(如接收邮件)的特性。攻击始于一封包含特殊Markdown语法的恶意邮件，当Copilot在后台自动扫描邮件以准备响应用户查询时，会触发浏览器向攻击者服务器发送网络请求，导致聊天记录、用户信息或内部文档等敏感数据泄露。

该漏洞利用链依赖于三个安全缺陷，其中包括微软内容安全策略(CSP)中的开放重定向漏洞——该策略默认信任Teams和SharePoint等内部域名。攻击者可借此将恶意请求伪装成合法流量，从而绕过微软针对跨提示注入攻击(XPIA)的防护机制。

Garg指出："EchoLeak漏洞暴露了分阶段AI部署存在的虚假安全性"。网络安全公司Aim Security将这一漏洞归类为"大语言模型越界访问"——即通过不可信提示词操纵AI访问超出其预设范围的数据。Garg解释道："攻击者能引用大语言模型上下文中的其他内容来提取敏感信息，将AI的合成能力转化为数据泄露渠道"。

研究人员还发现了其他类似漏洞，暗示采用相同技术的AI系统可能都存在风险。微软表示已修复该漏洞，并确认没有客户受到影响，也未发生实际攻击事件。

“EchoLeak 标志着向‘假设妥协架构’的转变，”Garg 指出，“企业现在必须假设对抗性提示注入会发生，因此实时行为监控和针对代理的威胁建模成为至关重要的要求。”

随着 AI 成为工作场所的标配，分析师们敦促进行强大的输入验证和数据隔离。Henein 警告说，像“向首席财务官发送电子邮件以窃取披露前的收益数据”这样的针对性攻击尤其令人担忧。

任何基于检索增强生成(RAG)的 AI 系统，如果同时处理外部输入和敏感内部数据，都可能面临风险。传统的防御手段，如数据丢失防护(DLP)标签，往往无法防止此类攻击，甚至可能在启用时影响 Copilot 的功能，Garg 解释说，“该漏洞证明，当 AI 可以被操纵通过看似无害的输入来违反边界时，传统的防御边界就毫无意义了。”

对于银行、医疗保健和国防等行业，这些生产力工具可能同时成为强大的数据泄露途径。“CIO现在必须设计 AI 系统，假设存在对抗性自主性，”Garg 说，“每个代理都是潜在的数据泄露点，必须在投入生产前进行红队验证。”

重新思考AI安全

EchoLeak 表明，企业级 AI 并非免疫于悄无声息的妥协，保护它不仅仅是修补层面的问题。“智能体需要一种新的保护范式，”Garg 说，“运行时安全必须是最基本的可行标准。”

该漏洞还揭示了现代 AI 中更深层次的结构性问题。“自主式AI 存在上下文崩溃的问题，”Garg 解释说，“它混淆了不同安全域的数据，无法区分它可以访问什么和它应该访问什么，将合成能力转变为特权提升。”

随着 AI 攻击面的扩大，EchoLeak 证明，即使是最复杂的系统也可能通过利用 AI 自身的逻辑而被武器化。“就目前而言，”Garg 总结道，“CISO应该信任，但也要验证，在让 AI 阅读你的收件箱之前要三思而后行。”

企业网D1net(www.d1net.com)：

国内头部to B IT智库，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。