安全观察家
下载贤集网APP入驻自媒体
6月11日安全公司Aim Labs披露,Microsoft 365 Copilot聊天机器人存在EchoLeak漏洞,编号为CVE-2025-32711,严重性评分达9.3。黑客利用此漏洞可在用户无交互情况下窃取敏感数据。 该漏洞源于Microsoft 365 Copilot的检索增强生成(RAG)系统设计缺陷。攻击者利用大语言模型权限越界技术,通过外部邮件嵌入恶意指令,诱导AI系统泄露特权数据。攻击链包括伪装邮件规避XPIA分类器、利用链接过滤系统弱点隐藏恶意内容、嵌入恶意图片引用触发数据泄露,还利用微软Teams基础设施绕过安全策略,以“RAG spraying”技术提高攻击成功率。 微软表示已完成全面修复,漏洞已“全面缓解”,无客户受影响,也无证据显示该漏洞在现实中被利用。
