微軟上週二為其 M365 Copilot AI 平臺修復了一個被評定為最高嚴重級別的安全漏洞。本週一,發現並報告該漏洞的研究人員公開了他們的概念驗證攻擊細節,展示攻擊者如何利用這一缺陷從 Copilot 可訪問的郵件中提取雙重驗證碼及其他敏感數據。
漏洞的核心問題並非某個代碼錯誤,而是大語言模型在架構層面存在一個難以根治的弱點:AI 助手無法可靠地區分用戶主動發出的指令與隱藏在第三方內容中的惡意請求。當 Copilot 為用戶總結郵件、草擬回覆或執行其他操作時,攻擊者可以在郵件正文或文檔中嵌入經過偽裝的指令,誘導模型將敏感信息以特定格式輸出,從而被外部服務器截獲。
微軟及其他大語言模型提供商此前已部署了一些防護措施,例如禁止 AI 助手提交網頁表單、發送郵件等可能用於外洩數據的操作。但研究人員發現,攻擊者可以通過標記語言或 HTML 標籤來繞過這些限制。具體而言,攻擊者可將雙重驗證碼等敏感數據包裹在 img 或 form 等 HTML 標籤內,或者利用標記語言的格式化功能,使模型在處理內容時觸發一個指向攻擊者服務器的網絡請求,敏感信息便會被記錄在服務器日誌中。
這一攻擊手法被命名為 SearchLeak,其成功實施意味著現有的安全護欄在面對精心設計的提示注入攻擊時形同虛設。微軟在收到報告後迅速發佈了補丁,但研究人員指出,只要大語言模型無法從本質上區分指令來源的可信度,這類漏洞就難以徹底消除,廠商只能不斷修補具體利用方式,形成一場無休止的攻防拉鋸戰。
從產業角度看,這一事件凸顯了 AI 助手在進入企業核心工作流時所面臨的信任挑戰。隨著越來越多的機構將 Copilot 等工具集成到郵件、文檔和協作平臺中,AI 模型所接觸的數據敏感度也在急劇上升。如果模型無法有效抵禦提示注入攻擊,企業不僅面臨直接的憑證洩露風險,還可能因合規問題承擔法律責任。對於 AI 產業投資者而言,安全能力的成熟度將直接影響企業級 AI 產品的採納速度與付費意願,也可能催生專注於 AI 安全防護的新興市場機會。