最近，有关 微软 365 Copilot 的一项关键 零点击漏洞 被披露，这一漏洞被称为“EchoLeak”，它使得攻击者能够在没有任何用户交互的情况下，自动窃取敏感的组织数据。这种漏洞的出现代表了 AI 安全研究 的一个重大突破，开启了一种新的攻击类型，即 “LLM Scope Violation”，潜在威胁也可能波及到其他的 AI 驱动应用程序。

“EchoLeak” 攻击利用了 M365 Copilot 在信息处理及从组织数据存储中检索信息时的基本设计缺陷。攻击者可以通过发送精心编制的电子邮件，绕过多个安全层，提取受害者的 Microsoft Graph 数据中最敏感的信息，包括 邮件、OneDrive 文件、SharePoint 文档 以及 Teams 对话。

该攻击的危险性在于其零点击特性，与传统网络攻击不同，后者通常需要用户点击恶意链接或下载被感染的文件，EchoLeak 完全在后台运行。攻击者只需向目标组织内部的一个邮箱发送电子邮件，当受害者为了进行任何日常业务操作而与 M365 Copilot 进行交互时，漏洞便可被触发。

这一攻击链展示了极大的技术复杂性，成功绕过了微软实施的四个核心安全措施。首先，它通过将恶意指令措辞为针对人类收件人的内容，而非 AI 系统，来突破 XPIA（跨提示注入攻击）分类器。研究人员还发现了多种绕过微软链接撤回机制的方法，利用了那些不被安全过滤器识别的较少知晓的 Markdown 格式变体，包括参考风格的链接和图像，这些内容可以逃避内容扫描系统。

更令人担忧的是 内容安全政策（CSP） 绕过方案，这使得自动数据窃取成为可能。研究人员确认，特定的 Microsoft Teams 和 SharePoint 端点能够在仍然处于允许的域白名单内的情况下，向外部服务器转发请求，从而为敏感数据的流出创造了隐形通道。

Aim Labs 引入了“LLM Scope Violation”这一术语来描述这一核心漏洞机制。这种情况发生在攻击者嵌入于不信任内容中的指令成功引导 AI 系统访问并处理具特权的组织数据，而没有明确的用户同意。研究人员认为，这违反了 最小权限原则，即低权限的外部内容通过 AI 中介获取对高权限内部信息的未授权访问。

这一发现突显了随着组织越来越多地采用 AI 驱动的生产力工具所面临的不断增加的安全挑战。M365 Copilot 与 Microsoft Graph 的集成使其拥有对组织数据的广泛访问权限，这使之成为高级攻击的一个吸引目标。微软的安全响应中心（MSRC）团队已获知此漏洞，尽管尚未披露有关补丁或缓解方法的具体细节。Aim Labs 报告称，目前尚未有客户受到此漏洞影响。

这项研究代表了在理解威胁行为者如何利用 AI 代理方面的重大进步，威胁行为者通过利用其内部机制实施攻击。随着组织持续部署 AI 驱动的工具，EchoLeak 的发现强调了专门为 AI 应用程序设计更复杂的安全框架的必要性。由于该漏洞的零点击特性和数据窃取的潜力，它特别适合用于企业间谍活动和勒索活动，这在不断演变的威胁环境中显示了出于日益融入 AI 的商业环境中产生的复杂性。

目前，微软还未公布有关此漏洞的复杂补救措施，企业需保持高度警醒，加强对自身业务环境的安全防护。随着更多企业采用新型的 AI 工具与技术，及时更新和维护系统的安全漏洞，对于保护重要数据的安全至关重要。请务必牢记，面对新型的网络攻击，保持警觉和快速响应是至关重要的，而不断提升自身的安全狞猎能力则是应对威胁的长期之道。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！