随着ChatGPT、Gemini等大语言模型的广泛应用,AI助手已深度融入企业办公场景,微软365 Copilot、谷歌Gemini及各类本地协作机器人正重塑工作流程。然而,技术革新往往伴随新型风险。近日,知名安全公司Aim Labs发布报告,披露针对Microsoft 365 Copilot的重大安全漏洞“EchoLeak”(CVE-2025-32711),其严重性评分高达9.3分,属于高危级别。该漏洞允许攻击者绕过用户交互,直接通过AI助手窃取敏感信息,标志着“零点击”AI钓鱼攻击进入实战阶段。
### 一、零点击AI钓鱼:攻击范式的根本性转变
传统钓鱼攻击依赖社会工程学诱使用户点击恶意链接或下载附件,而“零点击”AI钓鱼彻底颠覆了这一模式。攻击者利用AI助手的自动化处理能力,通过精心构造的输入(如特定格式的邮件),直接触发AI系统执行恶意操作,无需任何人为交互。其核心攻击流程分为四个阶段:
1. **恶意输入注入**:攻击者向目标用户发送包含隐蔽指令的邮件,指令通常伪装成正常内容或采用特定语法(如Markdown格式)。
2. **AI助手自动处理**:当用户请求Copilot分析收件箱、总结对话或执行其他自动化任务时,系统会自动处理该恶意邮件。
3. **漏洞触发与数据渗出**:Copilot的检索增强生成(RAG)系统在解析指令时,因权限越界缺陷违规访问敏感数据(如邮件、OneDrive文件、SharePoint文档),并通过隐蔽通道(如图片URL参数)泄露信息。
4. **横向扩散**:泄露数据可能通过AI生成的摘要、评论或协作回复在组织内部传播,扩大影响范围。
这种攻击的可怕之处在于,它绕过了传统安全防护依赖的“用户警觉性”环节,直接利用AI系统的逻辑缺陷。企业安全边界从“人机交互点”后移至“AI决策层”,防御难度显著增加。
### 二、EchoLeak漏洞技术机理:RAG系统的设计缺陷与绕过艺术
EchoLeak漏洞根源在于Microsoft 365 Copilot依赖的检索增强生成(RAG)系统存在权限控制缺陷。Copilot通过Microsoft Graph访问组织内数据(邮件、文件、Teams对话等),但攻击者通过构造特殊指令,诱使系统越权检索并泄露数据。Aim Labs研究人员详细演示了多阶段攻击链:
– **指令注入绕过**:攻击者使用看似无害的Markdown语法指令,伪装成邮件正文内容,成功绕过微软的跨提示注入攻击(XPIA)分类器。指令实质是请求Copilot输出敏感信息,并将其嵌入Markdown链接或图片URL参数中。
– **数据渗出通道创新**:为规避链接编辑安全措施,攻击者让Copilot生成图片,并将敏感数据作为查询参数附加到图片URL;为绕过内容安全策略(CSP)对未授权域的限制,攻击者利用SharePoint、Teams等白名单域作为渗出通道。
这一过程凸显了AI系统安全的两大挑战:一是提示注入攻击的检测难度高,恶意指令与正常内容边界模糊;二是数据渗出通道多样化,传统安全策略(如CSP)可能被合法服务滥用。微软于2025年1月获知漏洞后,在5月完成补丁修复,通过强化权限校验、优化输入过滤及收紧CSP策略,全面缓解风险。目前尚无证据表明漏洞被实际利用。
### 三、企业AI安全启示:从被动防护到主动治理
EchoLeak事件并非孤立案例,而是生成式AI企业化进程中安全挑战的缩影。随着AI深度集成业务系统,安全边界从清晰的技术层扩展至模糊的语义层,传统基于规则或特征匹配的防御手段逐渐失效。未来企业需构建多层防护体系:
1. **技术层面**:强化AI系统的输入验证、权限最小化原则及输出过滤机制,研发针对提示注入、训练数据投毒等新型攻击的检测技术。
2. **流程层面**:建立AI安全开发生命周期(AISDLC),将安全测试嵌入模型部署与迭代流程,定期进行红队演练模拟AI攻击场景。
3. **生态协作**:技术提供商(如微软)、安全研究机构与企业用户需形成信息共享与应急响应联盟,共同应对快速演化的威胁。
AI安全已成为网络安全的新战场,其复杂性远超传统软件漏洞。企业需正视AI双刃剑属性,在享受效率提升的同时,投入资源构建前瞻性防御体系,方能在数字化浪潮中行稳致远。
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:http://www.itsolotime.com/archives/12846