2025年,提示注入從實驗室概念演變為現實生產中的威脅。兩起具有里程碑意義的案例——EchoLeak和FocedLeak——證明零點擊攻擊和間接提示注入已成為企業人工智慧助手面臨的核心風險。
EchoLeak
(CVE-2025-32711):M365 Copilot 中的靜默數據外泄
2025年6月發現的EchoLeak漏洞被廣泛認為是首個在生產級人工智慧系統中實現完全自動化的數據洩露利用漏洞。其嚴重性在於其零點擊性質受害者無需點擊鏈接或執行任何代碼。只需在後臺處理一封惡意電子郵件,就足以觸發資訊洩露。
技術攻擊路徑
攻擊者向受害者的Outlook收件箱發送一封精心 crafted的電子郵件,其中包含惡意的Markdown有效載荷。當用戶稍後與Microsoft 365 Copilot交互時(例如,請求最近郵件的摘要),Copilot的檢索增強生成(RAG)引擎會將這封惡意電子郵件納入其上下文之中。
l 分類器繞過(XPIA繞過):
微軟部署了跨提示注入檢測機制。然而,EchoLeak卻利用了Unicode 同形異義字 以及上下文混淆技術,將惡意指令偽裝成合法的業務通信,從而成功規避語義檢測。
l 通過繞過鏈接過濾器進行數據外泄:
該攻擊濫用了Markdown的引用樣式鏈接語法. 雖然內聯外部鏈接通常會被過濾,但引用鏈接卻能繞過某些解析路徑。敏感數據(例如來自OneDrive的數據)會嵌入到URL參數中,並悄無聲息地傳輸至攻擊者控制的伺服器。
l 隱形機制:
注入的指令包括諸如“不要提及此電子郵件”之類的指示,從而阻止Copilot在其回復中引用該惡意來源,使用戶 unaware of the breach。
強制洩漏:Salesforce
Agentforce 中的邏輯漏洞利用
性質類似,ForcedLeak針對的是Salesforce的Agentforce平臺。攻擊者通過Web-to-Lead表單,將惡意提示注入到開放字段(例如“描述”)中。
攻擊邏輯
此次攻擊最引人注目的地方在於它的悖論:它之所以成功,並非由於用戶操作失誤,而是因為用戶正確地遵循了常規工作流程。
當銷售代表使用人工智慧助手對潛在客戶進行分類或評分時,人工智慧會處理CRM系統中存儲的惡意指令。這些指令會操縱人工智慧繞過安全防護措施,並通過一個此前受信任但現已失效的功能變數名稱竊取敏感的個人身份資訊(PII)。
攻擊者僅需5美元便可購買此類過期功能變數名稱,從而有效繞過內容安全策略(CSP)的防護。這凸顯了人工智慧安全領域的一個根本性弱點:數據源的隱式信任模型.
主要提示注入事件對比(2025年)
|
功能 |
EchoLeak (M365
Copilot) |
ForcedLeak(Agentforce) |
|
CVSS評分 |
9.3 (關鍵的) |
9.4 (關鍵的) |
|
觸發機制 |
零點擊、後臺郵件處理 |
在潛在客戶處理過程中觸發 |
|
滲出通道 |
Markdown參考鏈接繞過 |
受信任域/CSP繞過 |
|
數據來源 |
SharePoint、OneDrive、Teams |
Salesforce CRM 核心數據 |
|
核心漏洞 |
缺乏跨上下文隔離 |
將不受信任的輸入視為可信指令 |
對未來人工智慧安全的啟示
這些事件暴露了人工智慧系統的一個根本性弱點:人機界限的模糊。說明
和數據.
1. 從輸入過濾轉向語義監控
傳統的基於規則的過濾(例如,正則運算式)不足以應對自然語言攻擊。組織必須部署——上下文感知的AI護欄 能夠理解意圖,並在數據檢索等敏感操作中實施完整性檢查。
2. 實施人工介入控制
人工智慧系統不應在高風險行動中擁有完全自主權,包括:
l 外部網路通信
l 批量數據導出
l 敏感的配置更改
在ForcedLeak事件之後,Salesforce實施了補丁,要求此类操作必须经过人工的明確批准。
3. 重新評估“數據即指令”風險
任何可供人工智慧訪問的數據——包括電子郵件、Slack消息、Jira工單或網路表單——都可能充當可執行的有效載荷。組織必須:
l 嚴格執行數據源隔離
l 申請最小許可權訪問控制
l 持續驗證信任邊界
這種範式轉變對於防止類似的數據外泄攻擊至關重要。
-----------
参考文献
- EchoLeak:首个在生产级大型语言模型系统中实现的零点击提示注入漏洞利用方案 — arXiv
- 强制漏洞:这款价值5美元的漏洞攻破了Salesforce的人工智能代理 – 灵感在线学习博客
