EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」

研究人員發現全新的「EchoLeak」攻擊手法，這是首個已知的零點擊（zero-click）AI資安漏洞。攻擊者無需使用者任何互動，即可從 Microsoft 365 Copilot 竊取使用者環境中的敏感資料。此漏洞於 2025 年 1 月由 Aim Labs 研究團隊發現並回報給微軟。微軟將其編號為 CVE-2025-32711，並評定為高風險等級。該漏洞已於 5 月完成伺服器端修復，使用者無需採取任何行動。

微軟表示，目前尚未發現此漏洞遭到實際利用的證據，因此未影響任何客戶。

Microsoft 365 Copilot 是一款整合於 Word、Excel、Outlook 和 Teams 等 Office 應用程式中的 AI 助理。它運用 OpenAI 的 GPT 模型與 Microsoft Graph，協助使用者產生內容、分析資料，並根據組織內部的檔案、電子郵件和聊天記錄來回答問題。

雖然此漏洞已修復且未被惡意利用，但 EchoLeak 揭示了一種新型態的資安弱點「LLM範疇突破」（LLM Scope Violation）。此類弱點會導致大型語言模型（LLM）在未經使用者授權或互動的情況下，洩漏具有權限限制的內部資料。由於此攻擊不需要受害者進行任何操作，因此可在企業環境中自動執行靜默資料外洩，突顯這類資安漏洞在 AI 整合系統中的潛在危險性。

EchoLeak 攻擊手法解析

攻擊者首先會向目標發送一封偽裝成正常商業文件的惡意電子郵件。郵件中隱藏經過設計的提示詞注入（prompt injection），目的是讓 LLM 竊取並洩露內部敏感資料。這些惡意提示詞被包裝成自然對話的形式，因此能夠繞過微軟的 XPIA（跨提示詞注入攻擊）分類器防護。

當使用者向 Copilot 詢問業務相關問題時，RAG（檢索增強生成）引擎會檢視該郵件的格式和表面相關性，並將其納入 LLM 的上下文中。一旦惡意提示詞進入 LLM 系統，它就會誘使 AI 將敏感的內部資料嵌入特製的連結或圖片中。

Aim Labs 發現，當瀏覽器遇到特定的markdown圖片格式時，會自動發出圖片請求，導致含有機敏資料的 URL 被自動傳送至攻擊者的伺服器。

雖然微軟的 CSP（內容安全政策）可阻擋大部分外部網域，但 Microsoft Teams 和 SharePoint 的 URL 因被視為可信任，反而可能遭到濫用以竊取資料。即使 EchoLeak 漏洞已修復，但隨著 LLM 應用程式與企業工作流程的整合日益緊密，傳統的資安防護機制已開始出現弱點。

這種情況可能導致新型漏洞的產生，讓駭客有機會進行隱蔽的高風險攻擊。

為此，企業必須採取多項防護措施：加強提示詞注入的過濾機制、實施嚴格的輸入範疇控制，並對 LLM 輸出進行後處理過濾，以攔截含有外部連結或結構化資料的回應。同時，RAG 引擎也應設定為排除外部通訊來源，從根本防止惡意提示詞的擷取。

本文轉載自 BleepingCompueter。