提示注入的武器化:從 EchoLeak 到 ForcedLeak
金色財經
EchoLeak (CVE-2025-32711): M365 Copilot 中的隱形數據外泄
EchoLeak 漏洞於 2025 年 6 月被發現,被廣泛視為首個針對生產級 AI 系統的全自動化數據外泄漏洞。 其嚴重性在於其零點擊特性:受害者無需點擊鏈接或執行任何代碼。僅需在後台處理一封惡意電子郵件,便足以觸發數據泄露。
技術攻擊路徑
攻擊者向受害者的 Outlook 收件箱發送一封精心製作的電子郵件,其中包含惡意 Markdown 有效載荷。 當用戶隨後與 Microsoft 365 Copilot 進行交互(例如請求最近郵件的摘要)時,Copilot 的檢索增強生成 (RAG) 引擎會將該惡意郵件納入其上下文。
分類器繞過(XPIA 繞過):
微軟部署了跨提示注入檢測機制。 然而,EchoLeak 利用 Unicode 同形異義字 和上下文混淆技術,將惡意指令偽裝成合法的商務通信,成功規避了語義檢測。
通過鏈接過濾繞過實現數據外泄:
該攻擊濫用了 Markdown 的 引用式鏈接語法。雖然內聯外部鏈接通常會被過濾,但引用鏈接可以繞過某些解析路徑。 敏感數據(例如來自 OneDrive 的數據)被嵌入 URL 參數中,並悄無聲息地傳輸到攻擊者控制的服務器。
隱蔽機制:
注入的指令包含「不要提及此電子郵件」等指令,防止 Copilot 在其響應中引用惡意來源,從而使用戶無法察覺數據泄露。
ForcedLeak: Salesforce Agentforce 中的邏輯利用
ForcedLeak 與上述攻擊性質相似,其目標是 Salesforce 的 Agentforce 平台。攻擊者通過 Web-to-Lead 表單將惡意提示注入開放字段(例如「描述」)。
攻擊邏輯
此次攻擊最引人注目之處在於其悖論:攻擊之所以成功,並非因為用戶操作失誤,而是因為用戶正確地遵循了常規工作流程。
當銷售代表使用 AI 助手對潛在客戶進行分類或評分時,AI 會處理儲存在 CRM 系統中的惡意指令。 這些指令會操縱 AI 繞過安全防護措施,並通過一個以前受信任但現已過期的域名竊取敏感的個人身份資訊 (PII)。
攻擊者只需 5 美元就能購買此類過期域名,從而有效地繞過內容安全策略 (CSP) 的保護。 這凸顯了AI安全中的根本性弱點:數據源的隱含信任模型。
主要提示注入事件對比(2025年)
特徵
EchoLeak(M365 Copilot)
ForcedLeak (Agentforce)
CVSS 評分
9.3 (嚴重)
9.4 (嚴重)
觸發機制
零點擊,後台電子郵件處理
在潛在客戶處理過程中觸發
數據外泄渠道
Markdown 引用鏈接繞過
受信任域 / CSP 繞過
數據源
SharePoint、OneDrive、Teams
Salesforce CRM 核心數據
核心漏洞
缺乏跨上下文隔離
將不可信輸入視為可信指令
對未來 AI 安全的影響
這些事件暴露了AI系統中一個根本性的弱點:指令與數據之間的界限模糊。
1. 從輸入過濾轉向語義監控
傳統的基於規則的過濾(例如正則表達式)不足以應對自然語言攻擊。 組織必須部署能夠理解意圖並在數據檢索等敏感操作期間執行完整性檢查的、具有情境感知能力的 AI 防護措施。
2. 實施「人機協同」控制
AI 系統不應在高風險操作中擁有完全自主權,包括:
外部網路通信
批量數據導出
敏感配置變更
在ForcedLeak事件發生後,Salesforce實施了補丁,要求此類操作必須經過人工明確批准。
3. 重新評估「數據即指令」的風險
AI 可以訪問的任何數據——電子郵件、Slack 消息、Jira 票證或 Web 表單——都可能充當可執行有效載荷。 組織必須:
強制執行嚴格的 數據源隔離
應用 最小-特權訪問控制
持續驗證信任邊界
這種範式轉變對於防止類似的數據外泄攻擊至關重要。
參考文獻
EchoLeak:首個在生產環境 LLM 系統中發現的真實世界零點擊提示注入漏洞 – arXiv
ForcedLeak: 那個讓 Salesforce AI 代理癱瘓的 5 美元漏洞——Inspired eLearning 部落格
來源:金色財經
發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
- 讓加密貨幣幫你滾出年化30%現金流
- 掌握全球財經資訊點我下載APP
延伸閱讀
- Strategy買幣策略轉彎!授權出售12.5億美元比特幣、啟動20億美元庫藏股
- 比特幣市值蒸發1.3兆美元!分析師:真正底部恐還沒到
- 比特幣底部到了嗎?多空激辯後市走向、分析師警告或仍有「最後一跌」
- 比特幣暴跌背後真相曝!分析師揭BTC最大困境:三條賽道全面失勢
- 講座
- 公告
上一篇
下一篇