Microsoft 365 Copilot 數據暴露 – 遭零點擊漏洞攻擊

Aim Security 的安全研究人員發現了“EchoLeak”，這是 Microsoft 365 Copilot 中第一個已知的零點擊人工智能 (AI) 漏洞，攻擊者只需發送惡意製作的電子郵件即可悄悄竊取敏感公司數據，無需用戶交互、無需點擊鏈接，也無需下載。

Aim Security 聯合創始人兼首席技術官 Adir Gruss 在描述零點擊攻擊時表示：“該漏洞代表了人工智能安全研究的重大突破，因為它展示了攻擊者如何自動從 Microsoft 365 Copilot 上下文中竊取最敏感的信息，而無需任何用戶交互。”

什麼是迴聲洩漏？

EchoLeak 於 2025 年 1 月被發現，並在 5 月 Microsoft MSRC 團隊修復後披露，攻擊者只需發送惡意製作的電子郵件即可從用戶連接的 Microsoft 365 環境中竊取敏感信息，包括 Outlook 電子郵件、OneDrive 文件、Office 文檔、SharePoint 內容和 Teams 聊天歷史記錄。這封電子郵件將繞過多重安全保護措施，並觸發 Copilot 洩露原本保密的內部數據。

更令人擔憂的是，攻擊者不需要是組織的員工。任何外部發件人都可以發起攻擊。

Aim Labs 團隊在周三的博客文章中表示寫道EchoLeak 利用了一個被他們描述為“大型語言模型 (LLM) 範圍違規”的概念。在這種情況下，惡意行為者會發送一封看似無辜的電子郵件，其中包含使用 Markdown 格式偽裝的隱藏提示。

當用戶稍後向 Copilot 詢問相關問題時，人工智能會從上下文中檢索電子郵件，並在不知不覺中執行嵌入的指令，從文檔、電子郵件或聊天等內部來源中提取敏感數據。

然後，攻擊者的提示指示 Copilot 將提取的數據嵌入圖像或鏈接中。這會導致瀏覽器通常通過 SharePoint 或 Teams 等受信任的 Microsoft 域自動獲取資源，立即將敏感信息發送到攻擊者控制的服務器，同時對用戶保持不可見。

EchoLeak 攻擊鏈如何運作

另請閱讀：微軟表示 Copilot 可以使用位置來更改 Android 上的 Outlook 用戶界面

攻擊鏈的工作分為四個階段：

1.XPIA繞過

Microsoft 使用名為 XPIA（交叉提示注入攻擊）的系統來檢測並阻止可疑提示到達 M365 Copilot 的底層 LLM。然而，Aim Security 發現，如果通過完全避免使用 AI/assistants/Copilot 等詞語作為對電子郵件收件人的隨意指導，即時注入攻擊可以輕鬆繞過 XPIA 分類器。

2. 鏈接密文繞過

通常，在用戶有機會單擊這些鏈接之前，Copilot 會從聊天歷史記錄中編輯這些鏈接。

但通過使用參考樣式降價鏈接等技巧，攻擊者可以逃避 Copilot 的編輯過濾器，並且不會被 M365 Copilot 從聊天中刪除。然後，這些鏈接會在 LLM 輸出中悄悄洩露。

3. 圖像編輯繞過
為了消除用戶單擊任何內容的需要，攻擊者使用引用樣式的圖像降價。瀏覽器嘗試從攻擊者控制的服務器“加載”圖像，然後自動觸發數據洩露，無需用戶交互。

4.使用 SharePoint 繞過 CSP

由於大多數外部域都被 Microsoft 的內容安全策略 (CSP) 阻止，因此研究人員通過 SharePoint 和 Microsoft Teams 等受認可的 Microsoft 服務來進行利用。這使得攻擊者能夠悄悄地竊取敏感的 Copilot 上下文數據，而無需任何用戶交互、檢測或額外的訪問權限。

除了技術機制之外，該漏洞還取決於 Aim Labs 稱為“RAG Spraying”的策略，攻擊者通過將長電子郵件分成幾塊或多封精心設計的電子郵件來匹配可能的用戶查詢，從而提高系統的成功率。

一旦 Copilot 檢索到惡意內容，它就會在不知不覺中遵循攻擊者的指令，從其內部上下文中提取最敏感的數據並將其發送到攻擊者的域，而所有用戶都沒有意識到。
該漏洞利用鏈凸顯了人工智能助手與內部數據交互和解釋用戶輸入方式方面的關鍵設計缺陷。

微軟的回應

微軟指定CVE-2025-32711CVSS 評分為 9.3 的關鍵零點擊缺陷，並於 2025 年 5 月應用了服務器端修復，這意味著它不需要用戶干預。這家雷德蒙德巨頭還指出，沒有證據表明存在任何現實世界的利用，也沒有客戶受到影響。

鑑於 EchoLeak 漏洞，建議用戶和組織採取一些主動措施來減輕潛在風險。其中包括在 Copilot 中禁用外部電子郵件上下文以限制不受信任的數據源、檢查傳入電子郵件以獲取提示、在防火牆級別實施特定於 AI 的運行時護欄以監控和阻止異常行為，以及限制 AI 輸出中的 Markdown 渲染以防止通過鏈接和圖像洩露數據。