微软上周二为其 M365 Copilot AI 平台修复了一个被评定为最高严重级别的安全漏洞。本周一,发现并报告该漏洞的研究人员公开了他们的概念验证攻击细节,展示攻击者如何利用这一缺陷从 Copilot 可访问的邮件中提取双重验证码及其他敏感数据。
漏洞的核心问题并非某个代码错误,而是大语言模型在架构层面存在一个难以根治的弱点:AI 助手无法可靠地区分用户主动发出的指令与隐藏在第三方内容中的恶意请求。当 Copilot 为用户总结邮件、草拟回复或执行其他操作时,攻击者可以在邮件正文或文档中嵌入经过伪装的指令,诱导模型将敏感信息以特定格式输出,从而被外部服务器截获。
微软及其他大语言模型提供商此前已部署了一些防护措施,例如禁止 AI 助手提交网页表单、发送邮件等可能用于外泄数据的操作。但研究人员发现,攻击者可以通过标记语言或 HTML 标签来绕过这些限制。具体而言,攻击者可将双重验证码等敏感数据包裹在 img 或 form 等 HTML 标签内,或者利用标记语言的格式化功能,使模型在处理内容时触发一个指向攻击者服务器的网络请求,敏感信息便会被记录在服务器日志中。
这一攻击手法被命名为 SearchLeak,其成功实施意味着现有的安全护栏在面对精心设计的提示注入攻击时形同虚设。微软在收到报告后迅速发布了补丁,但研究人员指出,只要大语言模型无法从本质上区分指令来源的可信度,这类漏洞就难以彻底消除,厂商只能不断修补具体利用方式,形成一场无休止的攻防拉锯战。
从产业角度看,这一事件凸显了 AI 助手在进入企业核心工作流时所面临的信任挑战。随着越来越多的机构将 Copilot 等工具集成到邮件、文档和协作平台中,AI 模型所接触的数据敏感度也在急剧上升。如果模型无法有效抵御提示注入攻击,企业不仅面临直接的凭证泄露风险,还可能因合规问题承担法律责任。对于 AI 产业投资者而言,安全能力的成熟度将直接影响企业级 AI 产品的采纳速度与付费意愿,也可能催生专注于 AI 安全防护的新兴市场机会。