Danielossai12/aisecplus-week01-danielossai

# 🔐 AISec Plus — 第 1 周：威胁图谱 **研究员：** Daniel Ossai **仓库：** `aisecplus-week01-danielossai` **提交：** 第 1 周 · AISec Plus 训练营 ## 📌 事件名称与日期 **EchoLeak (CVE-2025-32711)** 发现时间：2025 年 1 月 · 披露时间：2025 年 6 月 · 修复时间：2025 年 6 月 ## 📝 事件经过 Aim Security 的研究人员在 Microsoft 365 Copilot 中发现了一个严重的零点击间接 prompt 注入漏洞。只需发送一封精心构造的电子邮件——无需任何用户交互——攻击者就能让 Copilot 在后台静默访问内部文件，并将其内容泄露到攻击者控制的服务器上。 受害者无需点击任何内容。也无需打开任何附件。仅仅是将该邮件保留在收件箱中，就足以让 Copilot 处理隐藏的恶意指令，并开始泄露敏感的企业数据。 微软将其编号为 **CVE-2025-32711**，CVSS 评分为 **9.3（严重）**。这是首个已知的将 prompt 注入武器化，并在生产级 AI 系统中实现具体数据泄露的案例。微软已在服务器端进行了修复；目前尚未证实存在野外利用。 ## ⚙️ 攻击运作原理 该攻击串联了四个不同的绕过机制，以实现静默数据泄露： **步骤 1 — XPIA 分类器绕过** Microsoft 365 Copilot 使用跨 prompt 注入攻击 (XPIA) 分类器来检测并拦截恶意指令。攻击者通过使用看似发给人类接收者的自然语言来编写 prompt，从而绕过了这一点——文中从未提及 AI、Copilot 或任何技术触发词。分类器没有对其进行任何标记。 **步骤 2 — 链接编辑（Redaction）绕过** Copilot 通常会编辑（隐藏）外部链接，以防止数据离开 M365 环境。攻击者利用参考式 Markdown 格式绕过了这一点，Copilot 对其进行渲染时并未触发编辑过滤器。 **步骤 3 — 自动获取图片利用** Copilot 自动获取内嵌图片的行为被滥用，借此向攻击者控制的服务器发起出站 HTTP 请求——并在请求参数中携带了窃取的数据。 **步骤 4 — 通过 Teams 代理绕过内容安全策略 (CSP)** Microsoft Teams 在 M365 的内容安全策略中充当受信任的代理。攻击者通过此允许的代理路由泄露请求，完全绕过了 CSP。 **最终结果：** 跨越 LLM 信任边界的全面权限提升，且无需用户交互。其 payload 是纯文本——没有代码，也没有恶意软件特征。Copilot 的行为完全符合设计初衷：处理输入并做出有用的响应。像杀毒软件、防火墙和静态文件扫描等传统防御手段完全失效。 ## 🗺️ 威胁映射 | 框架 | 分类 | |---|---| | **NIST 系列** | **滥用**（将正常运行模型武器化）+ **隐私**（未经授权的数据泄露） | | **OWASP LLM01** | Prompt 注入 — 隐藏指令劫持了 Copilot 的行为 | | **OWASP LLM02** | 敏感信息泄露 — 在未经用户同意的情况下泄露内部文件 | | **OWASP LLM08** | 向量与 Embedding 漏洞 — 利用 RAG 架构访问内部数据 | | **MITRE ATLAS** | 查看 [atlas.mitre.org/studies](https://atlas.mitre.org/studies) 获取已记录的案例研究 | ## 💥 影响范围 EchoLeak 代表了一种结构性风险，而不仅仅是一次性的漏洞： - **直接风险：** 任何启用了 M365 Copilot 的组织都可能通过一封精心构造的电子邮件遭到静默数据泄露 - **波及范围：** 影响 Word、PowerPoint、Outlook 和 Teams——任何 Copilot 处理内容的平台 - **新颖性：** 首次确认针对生产级 AI agent 的零点击利用；也是 prompt 注入首次在真实的企业系统中实现实际的数据泄露 - **深层影响：** 这种结构性攻击面适用于任何可以访问多个内部数据源的基于 LLM 的助手——不仅限于微软的实现 - **已确认的野外利用：** 无；微软在已知的滥用发生之前，已在服务器端进行了修补 ## 🛡️ 预防与防御 **微软采取的措施：** - 部署了服务器端补丁（无需客户采取行动） - 引入了 DLP 标签，以阻止 Copilot 处理外部电子邮件 - 推出了新的 M365 Roadmap 功能，限制 Copilot 对电子邮件的访问 **更广泛的教训：** - **限制数据访问范围** 才是真正的解决之道——在漏洞利用之前，限制 Copilot 可以触及的内容 - **将外部内容视为不受信任** —— 电子邮件、文档和网页内容不应与系统指令处于同一信任边界内 - **分离指令与数据通道** —— LLM 绝不应混淆用户的电子邮件与操作员命令 - **输出沙箱化** —— 在模型允许发送的出站信息离开系统之前，对其进行过滤和验证 - 修补单一的 CVE 是不够的；必须在设计上强化其架构模式（LLM + RAG + 广泛的数据访问权限） ## 🔗 参考来源 1. The Hacker News — 零点击 AI 漏洞在无需用户交互的情况下暴露 Microsoft 365 Copilot 数据 https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html 2. Hack The Box — 深入解析 CVE-2025-32711 (EchoLeak)：prompt 注入与 AI 数据泄露的结合 https://www.hackthebox.com/blog/cve-2025-32711-echoleak-copilot-vulnerability 3. Checkmarx — EchoLeak (CVE-2025-32711)：攻击链分析 https://checkmarx.com/zero-post/echoleak-cve-2025-32711-show-us-that-ai-security-is-challenging/ 4. Sentra — EchoLeak：微软 Copilot prompt 注入漏洞对您的数据意味着什么 https://sentra.io/blog/copilot-echoleak-prompt-injection 5. arXiv — EchoLeak：生产级 LLM 系统中首个真实世界的零点击 prompt 注入利用 https://arxiv.org/abs/2509.10540 *AISec Plus · 第 1 周 · 我们都在成长。展现自我。持续构建。不断进步。*

标签：AI安全, Chat Copilot, DLL 劫持, DNS 反向解析, 大语言模型, 威胁情报, 开发者工具, 漏洞分析, 路径探测, 防御加固