近日,安全研究机构Aim Labs在其官方博客中披露了一个针对微软365 Copilot聊天机器人的高危漏洞——EchoLeak。该漏洞无需用户交互即可被利用,可能导致敏感数据泄露。目前微软已发布修复方案,并确认未对客户造成实际影响。
此漏洞的CVE编号为CVE-2025-32711,其CVSS评分为9.3分(满分10),属于”严重”级别。微软官方表示已对该问题进行全面修复,并强调没有证据表明该漏洞已被用于实际攻击。
据研究人员分析,EchoLeak的根源在于Copilot所依赖的检索增强生成(RAG)系统中存在设计缺陷。Copilot通过Microsoft Graph连接器访问组织内部的大量敏感数据,包括电子邮件、OneDrive文件、SharePoint站点和Teams聊天记录等。
攻击者利用大语言模型权限越界(LLM Scope Violation)技术,可以通过精心构造的外部邮件嵌入恶意指令,诱导AI系统越过安全边界,非法访问并泄露具有特权级别的数据。这种攻击方式隐蔽性极强,且可以绕过常规的安全防护机制。
Aim Labs的研究人员详细展示了EchoLeak的多阶段攻击链:首先通过伪装邮件内容,规避微软的跨提示注入攻击(XPIA)分类器,使得恶意请求看似正常的用户指令;
其次,利用微软链接过滤系统对引用式Markdown格式处理上的弱点,将恶意代码隐藏在合法的内容中。此外,攻击者还通过嵌入恶意图片URL的方式,触发浏览器向远程服务器发起请求,从而实现数据窃取。
更值得关注的是,研究人员创造性地利用微软Teams的原生功能特性,绕过了内容安全策略限制。他们开发了一种名为”RAG spraying”的新技术,通过发送多个主题各异的邮件内容,精准匹配并操控Copilot的语义搜索机制。
微软官方在公告中确认,该漏洞已通过服务端更新得到全面修复,并强调无需客户采取额外行动。目前未发现任何实际攻击案例,也没有证据表明有用户数据因此泄露。
相关文章
