Microsoft 365 Copilot:關鍵的“ Echoleak”缺陷將Microsoft自己的AI變成數據小偷

安全研究人員在Microsoft 365 Copilot中暴露了一個關鍵的漏洞，稱為“ Echoleak”，這使攻擊者可以使用專門精心設計的電子郵件自動竊取敏感的公司數據。 The novel attack method required minimal user interaction and no explicit clicks, turning the AI assistant’s own powerful data-processing capabilities into a tool for exfiltration.

The discovery, detailed in a technical blog post by Aim安全，引入了新的AI特定威脅。 AIM Security認為，此攻擊代表了一種新型的漏洞，引入了“ LLM範圍違規”一詞，以描述一種可能在其他基於抹布的聊天機器人和AI代理中具有其他表現的技術。 “該技術通過將其隱藏在似乎是無害的外部輸入中的惡意指示餵食來操縱生成的AI代理，從而誘使代理訪問和洩漏特權的內部數據。

Microsoft此後修補了脆弱性， href=“ https://msrc.microsoft.com/update-guide/vulnerability/cve-2025-32711″ target=“ _ black”>分配了標識符CVE-2025-32711 ，並包括在2025年6月的2025年6月的星期二補丁。儘管該公司表示沒有客戶受到主動攻擊的影響，但該披露向行業發出了明顯的警告，該警告涉及種族中固有的安全挑戰，以部署整個企業中越來越自主的AI代理。微軟在其官方諮詢中確認了允許“ AI命令注入”的漏洞，該漏洞可以允許“未經授權的攻擊者通過網絡披露信息。 ”

繞過了微軟的幾個關鍵安全護欄。 varonis 添加了差異，雖然最初被描述為零單擊的攻擊，但補充了差異，解釋了攻擊流量最終需要一個啟動的呼吸器，使攻擊者的呼吸頻率相吻合，從而使攻擊者的插件相吻合，從而使攻擊者的攻擊量相吻合，以使攻擊者的攻擊量相吻合。一個。

攻擊開始於一封電子郵件，其中包含使用特定的Markdown語法格式化的隱藏說明。微軟的XPIA分類器旨在阻止迅速注入，通過對惡意說明進行措辭，就好像是針對人類接受者的。 To make the attack more effective, Aim Security detailed a weaponization technique called “RAG spraying,”where an email is filled with various topics to maximize the chance that a user’s future query will tr​​igger the AI to retrieve the malicious content.

Once past these initial defenses, the exploit leveraged obscure variations of Markdown for reference-style images that were not properly redacted by Copilot.這允許創建旨在將數據發送到攻擊者服務器的URL。為了克服瀏覽器級別的安全性，攻擊者在 Microsoft的content-security-policy remote通過DALDITARTITATION data Daldation dodation dodation data SharePoint EmbedService endpoint and a Teams content proxy.

A New Paradigm for Agentic AI Threats

The EchoLeak vulnerability highlights a fundamental challenge for any organization deploying AI systems built on Retrieval-Augmented Generation (RAG), a technique that allows AI to pull in real-time data to inform its responses.當AI不加選擇地將不信任的外部數據與受信任的內部數據混合在一起時，妥協的潛力呈指數增長。這是抹布架構中幾種固有的風險之一，其中還包括

可以將“ LLM範圍違規”的概念與傳統軟件中的緩衝區溢出脆弱性的早期進行比較；該行業最終開發了特定的術語和防禦措施，例如“堆棧金絲雀” 一旦這些威脅得到了正確的理解。核心危險是該攻擊利用了目標用戶的權限，這意味著，如果妥協了具有廣泛數據訪問的高管，則可以將AI變成一種強大的工具來查找和剝奪公司最敏感的信息。

根據QKS GARM的ABHISHEK ANANT GARG GARG GARMESSENS，他們的武器卻不滿意，因為他們的武器卻不害怕，因為他們的武器卻不害怕。 This sentiment underscores a growing concern that traditional security tools are ill-equipped to handle the nuances of agentic AI.

Microsoft’s Race to Secure a Rapidly Expanding Ecosystem

The disclosure of EchoLeak arrived just as Microsoft was in the midst of a massive strategic push to integrate AI agents across its entire product suite.在整個2025年春季，該公司宣布了其“ Copilot Wave 2 Spring發布”，並在其建築2025會議上宣布了“ AI Agents的年齡”，揭開了許多用於構建和部署它們的新工具。

Microsoft近年來一直公開支持其安全姿勢。在其IGNITE 2024會議上，它引入了新的選項，作為副本控制系統的一部分，旨在使IT管理員對代理創建和數據訪問的粒狀控制。 

這些努力是因為其他研究人員也在標記潛在問題，Pen Test Partners在5月份的一份報告中，表明如何操縱SharePoint Copilot以揭示敏感數據。

Echoleak事件強調了對技術巨頭的巨大壓力，以平衡快速的創新與強大的安全性。推動擴大Copilot的用戶群的推動，該用戶群在2025年1月將其集成到消費者計劃中，並在今年早些時候報告的攤位中展示了用戶的成長，它創造了一個環境，​​在這種環境中，新穎的威脅可以比可以建立的防禦更快地出現。 Echoleak的脆弱性是一項關鍵案例研究，證明隨著AI變得更加有能力和自治，攻擊表面變得更加抽象和危險，要求對企業安全進行基本重新思考。