北京
在網絡安全行業,我們常說:“未被定義的風險,是最大的隱患。”
然而,當我們在談論人工智能(AI)的安全風險時,甚至連“什么是漏洞”這件事,廠商和安全研究員都還沒能達成共識。
最近,一起關于 Microsoft Copilot 的漏洞爭議,在圈內引發了激烈討論。一名安全工程師聲稱發現了Copilot的多個高危漏洞,結果卻被微軟一一拒收,理由是——“這些不符合我們的漏洞服務標準”。
這究竟是大廠傲慢,還是技術認知的偏差?在AI大模型深入企業核心業務的今天,這場爭論背后的邏輯,值得每一位網安人深思。
爭議焦點:是“漏洞”還是“特性”?
事情的起因源自網絡安全工程師 John Russell 在 LinkedIn 上的一篇“控訴”。他上個月向微軟報告了4個所謂的Copilot漏洞,但收到的回復都是“不符合服務條件”。
被微軟拒收的這些問題包括:
直接和間接的提示詞注入,導致系統提示詞泄露;
利用 Base64 編碼繞過 Copilot 的文件上傳類型限制;
在 Copilot 隔離的 Linux 環境中執行命令。
在這些問題中,Base64 編碼繞過文件上傳限制尤為引人玩味。
我們都知道,為了防止惡意文件上傳,AI助手通常會限制某些“高風險”文件格式。但 Russell 發現了一個簡單的“魔法”:只要把這些文件轉換成 Base64 文本字符串,存入 .txt 文件上傳,就能輕松騙過初始檢查。
一旦文件上傳成功,用戶只需在對話中要求 Copilot 解碼這段文本,原本被禁止的文件就“借尸還魂”了,Copilot 甚至會對其進行分析。這就好比保安只查包裹上的標簽,卻不打開看看里面裝的到底是什么。
行業分歧:已知限制還是設計缺陷?
這一現象立刻引發了安全社區的“站隊”。
資深網絡安全專家 Raj Marathe 表示贊同,他回憶起去年見過的一個Demo:有人將提示詞攻擊代碼隱藏在 Word 文檔中上傳,導致 Copilot “發瘋”甚至鎖定了用戶。這說明問題不僅真實存在,而且后果可能很嚴重。
但反方觀點同樣犀利。安全研究員 Cameron Criswell 指出,這些路徑相對已知,本質上是因為大語言模型(LLM)至今仍難以完美區分“數據”與“指令”。
Criswell 認為,這只是大模型的通病,只要模型還要保持實用性,這種風險就很難根除。如果把這都算作漏洞,那AI可能就沒法用了。
對此,John Russell 并不買賬。他反駁道,競爭對手 Anthropic 的 Claude 就能完美拒絕這些攻擊手段。這說明這不是模型原理的死結,而是輸入驗證做得到不到位的問題。
深度解讀:到底誰說了算?
要理解微軟的立場,我們需要先搞懂一個核心概念:系統提示詞。
它是隱藏在AI背后的“上帝指令”,決定了AI能說什么、不能說什么。如果系統提示詞里包含敏感信息,或者被黑客通過注入攻擊篡改,后果不堪設想。
然而,OWASP GenAI 項目 對此給出了一個非常“中立且精辟”的界定:“系統提示詞泄露本身并不代表真正的風險。真正的風險在于其后果——敏感信息泄露、繞過護欄、權限混亂等。”
簡單來說,OWASP 認為,僅僅知道系統提示詞寫了什么(泄露),并不等同于造成了實質性危害。除非攻擊者利用這些信息干成了壞事。
微軟正是基于這一邏輯做出了判斷。根據其公開的“漏洞判定標準”,如果一個報告沒有跨越明確的安全邊界,或者影響僅限于用戶自身的執行環境,亦或是只是暴露了一些低權限信息,微軟就不認為這是需要立即修復的“安全漏洞”。
微軟發言人在回應 BleepingComputer 時也強調了這一點:“如果安全邊界沒有被跨越,或者影響僅限于請求用戶的執行環境,這種情況通常被視為超出范圍。”
安全牛視角:給甲方的啟示
作為網安從業者,我們不僅要看熱鬧,更要看門道。這場“公說公有理,婆說婆有理”的爭論,給正在積極擁抱AI的企業安全團隊提了個醒:
不要迷信大廠的“安全背書”:廠商從商業利益出發,往往會將某些風險界定為“預期行為”。作為甲方,你必須有自己的判斷標準。
重新審視你的AI安全邊界:Copilot 的 Base64 繞過問題提醒我們,傳統的基于文件類型的檢測在AI時代已經失效。你需要關注的是數據流本身,而不僅僅是文件后綴。
建立防御機制:既然AI模型難以區分指令與數據,那么在AI接入企業核心數據前,必須部署中間層進行嚴格的輸入清洗和輸出過濾。
隨著以 MCP (Model Context Protocol) 為代表的AI連接協議逐漸成為標準,模型與工具、數據的交互將更加頻繁和復雜。這也意味著,類似的爭議只會越來越多,不會越來越少。
結語
在這個技術狂飆突進的時代,安全總是滯后于功能。Copilot 是否存在漏洞,或許在微軟的Bug Bar 上有明確的定義,但在企業的實際攻防場景中,任何被利用來繞過限制的手段,都是我們需要正視的威脅。
對于安全人來說,重要的不是爭論名詞的定義,而是構建起足以應對這些“模糊邊界”的防御體系。
合作電話:18610811242
合作微信:aqniu001
聯系郵箱:bd@aqniu.com
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
