真實漏洞：只需給你發(fā)一封郵件，AI就會把所有文件打包給黑客

去年六月，微軟悄悄在例行補(bǔ)丁更新里修復(fù)了一個漏洞，官方編號CVE-2025-32711，危險等級評分9.3分（滿分10分）。大多數(shù)人沒注意到這條新聞，但安全圈的人看到評分之后都沉默了一下。這個漏洞有個綽號叫"EchoLeak"，它的攻擊方式是這樣的：黑客給你發(fā)一封看起來完全正常的工作郵件，什么都不用你點，什么都不用你下載，只要這封郵件躺在你的收件箱里，下次你打開Microsoft 365 Copilot隨口問一句"幫我整理一下今天的工作重點"——你的Outlook郵件、Teams聊天記錄、OneDrive文件、SharePoint文檔，全部有可能被悄悄打包發(fā)給黑客。整個過程你毫無感知，Copilot的界面上顯示的，只是一個正常的回答。研究人員把它稱為"史上第一個針對生產(chǎn)AI系統(tǒng)的零點擊提示注入攻擊"。你沒有點任何東西，沒有下載任何附件，就已經(jīng)被完整地洗劫了。

要理解EchoLeak是怎么做到這件事的，必須先搞清楚"提示注入"這個詞到底是什么意思。這是AI投毒六種攻擊方式里最獨(dú)特的一種——前五種，不管是數(shù)據(jù)投毒、模型后門、對抗樣本還是供應(yīng)鏈投毒，攻擊者都需要在某個階段接觸模型的訓(xùn)練數(shù)據(jù)或權(quán)重，相當(dāng)于"在出廠前就動了手腳"。而提示注入完全不同，它針對的是AI正在運(yùn)行的那一刻：攻擊者不需要碰模型，只需要把一段惡意指令偽裝成普通內(nèi)容，混進(jìn)AI正在處理的數(shù)據(jù)流里——郵件、文檔、網(wǎng)頁、評論——AI就會把這段指令當(dāng)作真實的任務(wù)去執(zhí)行。這個漏洞的根源在于LLM一個天然的架構(gòu)缺陷：它無法從本質(zhì)上區(qū)分"開發(fā)者給它的系統(tǒng)指令"和"用戶輸入的普通數(shù)據(jù)"，因為兩者對它來說都是自然語言，都長得一樣。你給AI一個命令，黑客也給AI一個命令，AI不知道該聽誰的。

EchoLeak之所以被稱為"零點擊"，是因為它把這個漏洞推到了極限。研究團(tuán)隊的攻擊鏈設(shè)計非常精巧：惡意指令被藏在一封措辭平常的郵件里，用特殊方式寫成Copilot的AI過濾器識別不出來的格式。當(dāng)你用Copilot處理任何工作任務(wù)時，Copilot會自動調(diào)取你郵箱里的相關(guān)內(nèi)容作為上下文——這是它"聰明"的地方，也是被武器化的地方。一旦那封惡意郵件被Copilot調(diào)取，隱藏在里面的指令就開始執(zhí)行：找出你上下文里最敏感的信息，把它們編碼成一個外鏈，嵌入Copilot的正常回復(fù)里，數(shù)據(jù)就這樣靜默地流向了黑客控制的服務(wù)器。整個過程沒有代碼運(yùn)行，沒有病毒文件，沒有任何傳統(tǒng)安全工具可以檢測的痕跡——因為攻擊的"武器"是幾行普通文字，而執(zhí)行攻擊的，是你自己每天在用的那個AI助手。微軟給這個漏洞打出9.3分的危險評級，覆蓋范圍是全球超過十四億臺Windows設(shè)備生態(tài)里的M365用戶，這個數(shù)字已經(jīng)不需要再做任何說明。

EchoLeak是最戲劇性的案例，但提示注入的故事在它之前就已經(jīng)開始了。2023年底，一家美國雪佛蘭經(jīng)銷商上線了一個AI客服機(jī)器人，用來自動回答用戶的選車咨詢問題。一個用戶發(fā)現(xiàn)了這個機(jī)器人的破綻，用一段精心設(shè)計的對話繞過了它的銷售規(guī)則，最終讓這個AI客服"同意"以1美元的價格出售一輛2024款SUV，并承諾"這是一個具有約束力的報價"。截圖傳到社交媒體之后，相關(guān)話題的瀏覽量超過兩千萬。很多人當(dāng)時的第一反應(yīng)是"哈哈，AI真傻"——但如果你理解了提示注入的攻擊邏輯，你會發(fā)現(xiàn)這個反應(yīng)完全搞錯了方向：AI沒有"傻"，它只是按照接收到的指令在工作，只不過那個指令是用戶輸入的，而不是開發(fā)者寫的。這不是AI的智力問題，這是架構(gòu)設(shè)計的邊界問題。而EchoLeak告訴我們，當(dāng)AI變得越來越"能干"、能夠主動調(diào)取和處理各種敏感數(shù)據(jù)時，這個邊界問題會變成什么級別的安全漏洞。

說到這里，OWASP（開放式Web應(yīng)用安全項目）2025年發(fā)布的《大語言模型十大安全風(fēng)險》榜單值得提一下：提示注入連續(xù)排名第一。OWASP給出的理由很直接：相比其他AI安全威脅，提示注入的攻擊門檻極低——不需要任何專業(yè)工具，不需要接觸目標(biāo)系統(tǒng)，只需要懂得怎么措辭；同時，它的防御極其困難，因為你不可能告訴一個需要處理自然語言的AI"不要處理某種類型的自然語言"，這本身就是個悖論。微軟為了防住EchoLeak，打了一個相當(dāng)復(fù)雜的補(bǔ)丁，同時升級了跨提示注入攻擊分類器、加強(qiáng)了輸入過濾、限制了Copilot訪問外部鏈接的權(quán)限——這些都是有效的防御措施，但它們防住的是EchoLeak這一種具體攻擊，而不是提示注入這一整個類別。就在微軟發(fā)布補(bǔ)丁后不久，安全研究者已經(jīng)在研究新的繞過方法。這場貓鼠游戲不會因為打了一個補(bǔ)丁而結(jié)束。

那普通用戶能做什么？幾件事可以立刻開始：第一，對AI助手的權(quán)限要像對新員工一樣謹(jǐn)慎——不要在一開始就給它訪問所有郵件、所有文件的權(quán)限，能限制到最小范圍就限制到最小范圍；第二，當(dāng)AI助手的回復(fù)里出現(xiàn)任何你沒有主動請求的鏈接、圖片或外部內(nèi)容時，要有條件反射式的警惕，不要點；第三，如果你的公司在用企業(yè)版AI助手，一定要確認(rèn)供應(yīng)商有沒有針對間接提示注入做過專項的安全測試，這個問題可以直接寫進(jìn)采購需求里。這些不是終極防御，但足夠過濾掉大多數(shù)機(jī)會性攻擊。更根本的防御需要來自產(chǎn)品側(cè)：更細(xì)粒度的權(quán)限隔離、更嚴(yán)格的輸入來源標(biāo)注、指令與數(shù)據(jù)在處理層面真正的分離——這是整個AI行業(yè)目前正在努力的方向，但還沒有任何一家公司宣稱徹底解決了這個問題。

在評論區(qū)聊聊三個問題：你現(xiàn)在使用的AI辦公工具，有沒有主動查過它能訪問你哪些數(shù)據(jù)、有沒有做過安全權(quán)限的最小化配置？雪佛蘭AI客服被1美元騙賣SUV這件事，你覺得法律責(zé)任應(yīng)該歸屬于誰——用戶、經(jīng)銷商，還是AI產(chǎn)品提供商？最后這個問題，留給所有在用AI處理工作郵件的朋友：如果今天有人給你發(fā)了一封EchoLeak風(fēng)格的郵件，在微軟發(fā)補(bǔ)丁之前，你有沒有任何辦法自己察覺到這件事正在發(fā)生？