全球首例零点击攻击瞄准Microsoft 365 Copilot

该漏洞由 Aim Security 发现，全球是首例首个记录在案的针对 智能体的零点击攻击，揭示了我们日常使用的零点 AI 工具中潜藏的无形风险 。

只需一封精心设计的击攻击瞄电子邮件就足够了 
，Copilot 会默默地处理它 ，全球遵循隐藏的首例提示，挖掘内部文件 ，零点并将机密数据发送出去，击攻击瞄而这一切都能绕过微软的全球安全防御 ，服务器租用据该公司博客文章所述
。首例

“这完全是零点对 AI 核心优势——上下文理解能力的武器化利用，”QKS 集团的击攻击瞄分析师 Abhishek Anant Garg 表示 ，“企业安全之所以面临挑战，全球是首例因为它是为恶意代码设计的，而不是零点针对那些看起来无害但实际上像武器一样的语言 。”

这种漏洞代表着重大威胁
，Gartner 的亿华云副总裁分析师 Nader Henein 警告说：“考虑到 AI 助手和基于检索增强生成(RAG)的服务的复杂性，这肯定不是我们最后一次看到此类攻击。”

EchoLeak漏洞利用Copilot同时处理可信内部数据(如电子邮件、Teams聊天记录和OneDrive文件)与不可信外部输入(如接收邮件)的特性。攻击始于一封包含特殊Markdown语法的恶意邮件，当Copilot在后台自动扫描邮件以准备响应用户查询时 ，会触发浏览器向攻击者服务器发送网络请求，导致聊天记录、用户信息或内部文档等敏感数据泄露。

该漏洞利用链依赖于三个安全缺陷，其中包括微软内容安全策略(CSP)中的高防服务器开放重定向漏洞——该策略默认信任Teams和SharePoint等内部域名。攻击者可借此将恶意请求伪装成合法流量  ，从而绕过微软针对跨提示注入攻击(XPIA)的防护机制。

Garg指出 ："EchoLeak漏洞暴露了分阶段AI部署存在的虚假安全性"
。网络安全公司Aim Security将这一漏洞归类为"大语言模型越界访问"——即通过不可信提示词操纵AI访问超出其预设范围的数据。Garg解释道 ："攻击者能引用大语言模型上下文中的其他内容来提取敏感信息 ，将AI的合成能力转化为数据泄露渠道" 。

研究人员还发现了其他类似漏洞，暗示采用相同技术的AI系统可能都存在风险
。微软表示已修复该漏洞 ，香港云服务器并确认没有客户受到影响 ，也未发生实际攻击事件。

“EchoLeak 标志着向‘假设妥协架构’的转变 ，”Garg 指出 ，“企业现在必须假设对抗性提示注入会发生 
，因此实时行为监控和针对代理的威胁建模成为至关重要的要求。”

随着 AI 成为工作场所的标配，分析师们敦促进行强大的输入验证和数据隔离。Henein 警告说 ，像“向首席财务官发送电子邮件以窃取披露前的收益数据”这样的免费模板针对性攻击尤其令人担忧 。

任何基于检索增强生成(RAG)的 AI 系统，如果同时处理外部输入和敏感内部数据 ，都可能面临风险。传统的防御手段，如数据丢失防护(DLP)标签，往往无法防止此类攻击，甚至可能在启用时影响 Copilot 的功能，Garg 解释说，“该漏洞证明
，当 AI 可以被操纵通过看似无害的输入来违反边界时，传统的模板下载防御边界就毫无意义了。”

对于银行、医疗保健和国防等行业，这些生产力工具可能同时成为强大的数据泄露途径。“CIO现在必须设计 AI 系统 ，假设存在对抗性自主性，”Garg 说，“每个代理都是潜在的数据泄露点，必须在投入生产前进行红队验证 。”

EchoLeak 表明，企业级 AI 并非免疫于悄无声息的妥协，保护它不仅仅是修补层面的问题。“智能体需要一种新的保护范式 ，”Garg 说，“运行时安全必须是最基本的可行标准。”

该漏洞还揭示了现代 AI 中更深层次的结构性问题 。“自主式AI 存在上下文崩溃的问题，”Garg 解释说 ，“它混淆了不同安全域的数据，无法区分它可以访问什么和它应该访问什么 ，将合成能力转变为特权提升。”

随着 AI 攻击面的扩大 ，EchoLeak 证明
，即使是最复杂的系统也可能通过利用 AI 自身的逻辑而被武器化。“就目前而言 ，”Garg 总结道，“CISO应该信任，但也要验证 ，在让 AI 阅读你的收件箱之前要三思而后行。”