去年六月,微软悄悄在例行补丁更新里修复了一个漏洞,官方编号CVE-2025-32711,危险等级评分9.3分(满分10分)。大多数人没注意到这条新闻,但安全圈的人看到评分之后都沉默了一下。这个漏洞有个绰号叫"EchoLeak",它的攻击方式是这样的:黑客给你发一封看起来完全正常的工作邮件,什么都不用你点,什么都不用你下载,只要这封邮件躺在你的收件箱里,下次你打开Microsoft 365 Copilot随口问一句"帮我整理一下今天的工作重点"——你的Outlook邮件、Teams聊天记录、OneDrive文件、SharePoint文档,全部有可能被悄悄打包发给黑客。整个过程你毫无感知,Copilot的界面上显示的,只是一个正常的回答。研究人员把它称为"史上第一个针对生产AI系统的零点击提示注入攻击"。你没有点任何东西,没有下载任何附件,就已经被完整地洗劫了。
要理解EchoLeak是怎么做到这件事的,必须先搞清楚"提示注入"这个词到底是什么意思。这是AI投毒六种攻击方式里最独特的一种——前五种,不管是数据投毒、模型后门、对抗样本还是供应链投毒,攻击者都需要在某个阶段接触模型的训练数据或权重,相当于"在出厂前就动了手脚"。而提示注入完全不同,它针对的是AI正在运行的那一刻:攻击者不需要碰模型,只需要把一段恶意指令伪装成普通内容,混进AI正在处理的数据流里——邮件、文档、网页、评论——AI就会把这段指令当作真实的任务去执行。这个漏洞的根源在于LLM一个天然的架构缺陷:它无法从本质上区分"开发者给它的系统指令"和"用户输入的普通数据",因为两者对它来说都是自然语言,都长得一样。你给AI一个命令,黑客也给AI一个命令,AI不知道该听谁的。
EchoLeak之所以被称为"零点击",是因为它把这个漏洞推到了极限。研究团队的攻击链设计非常精巧:恶意指令被藏在一封措辞平常的邮件里,用特殊方式写成Copilot的AI过滤器识别不出来的格式。当你用Copilot处理任何工作任务时,Copilot会自动调取你邮箱里的相关内容作为上下文——这是它"聪明"的地方,也是被武器化的地方。一旦那封恶意邮件被Copilot调取,隐藏在里面的指令就开始执行:找出你上下文里最敏感的信息,把它们编码成一个外链,嵌入Copilot的正常回复里,数据就这样静默地流向了黑客控制的服务器。整个过程没有代码运行,没有病毒文件,没有任何传统安全工具可以检测的痕迹——因为攻击的"武器"是几行普通文字,而执行攻击的,是你自己每天在用的那个AI助手。微软给这个漏洞打出9.3分的危险评级,覆盖范围是全球超过十四亿台Windows设备生态里的M365用户,这个数字已经不需要再做任何说明。
EchoLeak是最戏剧性的案例,但提示注入的故事在它之前就已经开始了。2023年底,一家美国雪佛兰经销商上线了一个AI客服机器人,用来自动回答用户的选车咨询问题。一个用户发现了这个机器人的破绽,用一段精心设计的对话绕过了它的销售规则,最终让这个AI客服"同意"以1美元的价格出售一辆2024款SUV,并承诺"这是一个具有约束力的报价"。截图传到社交媒体之后,相关话题的浏览量超过两千万。很多人当时的第一反应是"哈哈,AI真傻"——但如果你理解了提示注入的攻击逻辑,你会发现这个反应完全搞错了方向:AI没有"傻",它只是按照接收到的指令在工作,只不过那个指令是用户输入的,而不是开发者写的。这不是AI的智力问题,这是架构设计的边界问题。而EchoLeak告诉我们,当AI变得越来越"能干"、能够主动调取和处理各种敏感数据时,这个边界问题会变成什么级别的安全漏洞。
说到这里,OWASP(开放式Web应用安全项目)2025年发布的《大语言模型十大安全风险》榜单值得提一下:提示注入连续排名第一。OWASP给出的理由很直接:相比其他AI安全威胁,提示注入的攻击门槛极低——不需要任何专业工具,不需要接触目标系统,只需要懂得怎么措辞;同时,它的防御极其困难,因为你不可能告诉一个需要处理自然语言的AI"不要处理某种类型的自然语言",这本身就是个悖论。微软为了防住EchoLeak,打了一个相当复杂的补丁,同时升级了跨提示注入攻击分类器、加强了输入过滤、限制了Copilot访问外部链接的权限——这些都是有效的防御措施,但它们防住的是EchoLeak这一种具体攻击,而不是提示注入这一整个类别。就在微软发布补丁后不久,安全研究者已经在研究新的绕过方法。这场猫鼠游戏不会因为打了一个补丁而结束。
那普通用户能做什么?几件事可以立刻开始:第一,对AI助手的权限要像对新员工一样谨慎——不要在一开始就给它访问所有邮件、所有文件的权限,能限制到最小范围就限制到最小范围;第二,当AI助手的回复里出现任何你没有主动请求的链接、图片或外部内容时,要有条件反射式的警惕,不要点;第三,如果你的公司在用企业版AI助手,一定要确认供应商有没有针对间接提示注入做过专项的安全测试,这个问题可以直接写进采购需求里。这些不是终极防御,但足够过滤掉大多数机会性攻击。更根本的防御需要来自产品侧:更细粒度的权限隔离、更严格的输入来源标注、指令与数据在处理层面真正的分离——这是整个AI行业目前正在努力的方向,但还没有任何一家公司宣称彻底解决了这个问题。
在评论区聊聊三个问题:你现在使用的AI办公工具,有没有主动查过它能访问你哪些数据、有没有做过安全权限的最小化配置?雪佛兰AI客服被1美元骗卖SUV这件事,你觉得法律责任应该归属于谁——用户、经销商,还是AI产品提供商?最后这个问题,留给所有在用AI处理工作邮件的朋友:如果今天有人给你发了一封EchoLeak风格的邮件,在微软发补丁之前,你有没有任何办法自己察觉到这件事正在发生?
热门跟贴