Microsoft 365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据

研究人员发现Microsoft 365 Copilot(M365 Copilot)存在一项复杂漏洞,攻击者可通过间接提示注入攻击窃取租户敏感数据,包括近期电子邮件内容。

漏洞利用机制分析

该漏洞由研究员Adam Logue在今天发布的博客文章中详细披露,其利用了AI助手与Office文档的集成功能以及对Mermaid图表的原生支持。攻击过程无需用户持续交互,仅需初始点击即可完成数据外泄。

攻击始于用户要求M365 Copilot总结恶意构造的Excel电子表格。攻击者通过在多个工作表隐藏白色文本指令,采用渐进式任务修改和嵌套命令技术劫持AI行为。

这些间接提示会覆盖原有的总结任务,转而指示Copilot调用其search_enterprise_emails工具检索近期企业邮件。获取的内容随后被十六进制编码并分割成短行,以规避Mermaid的字符限制。

通过伪装图表实现数据外泄

Copilot会生成Mermaid图表------这是一种基于JavaScript、可通过类Markdown文本创建流程图和图表的工具。攻击者将其伪装成带有锁表情符号的"登录按钮"。

该图表包含用于增强按钮真实感的CSS样式,以及嵌入了编码邮件数据的超链接。当用户误以为需要点击该按钮才能访问文档"敏感"内容时,链接会将数据发送至攻击者服务器(如Burp Collaborator实例)。十六进制编码的有效载荷将静默传输,攻击者可从服务器日志解码获取数据。

攻击特征与防御措施

Mermaid支持CSS超链接的特性使得该攻击向量尤为隐蔽。与攻击者直接与AI对话的直接提示注入不同,此方法将命令隐藏在电子邮件或PDF等看似无害的文件中,使其在钓鱼活动中更具隐蔽性。

Adam Logue指出这与之前在Cursor IDE中发现的Mermaid漏洞利用存在相似性,不过M365 Copilot需要用户交互才能触发。微软最终在2025年9月通过移除Copilot渲染的Mermaid图表中的交互式超链接修复了该漏洞。

此次事件凸显了AI工具集成过程中的安全风险,特别是处理敏感数据的企业环境。随着Copilot等大语言模型(LLM)与API和内部资源的连接,防范间接注入攻击变得至关重要。微软强调正在持续实施缓解措施,同时专家建议用户验证文档来源并密切监控AI输出内容。

相关推荐
aaaa954726653 小时前
2026最新5款AI编程工具平替实测合集|Claude Code低成本迭代深度对比
人工智能·microsoft
ylscode5 小时前
微软推送KB5095189:Windows 11 OOBE开箱即用体验迎来新一轮优化
windows·microsoft
千逐687 小时前
Uniapp 鸿蒙实战之 AtomGit APP - 仓库详情与文件树浏览
服务器·microsoft·uni-app
‿hhh8 小时前
Dify核心模块详解:从文本生成到智能体
人工智能·学习·microsoft·agent·上下文·记忆
USC-XiangLuXun10 小时前
GUI软件灰盒测试技术和方法 篇一
功能测试·microsoft·集成测试·mfc
Data_Journal11 小时前
使用 Selenium 进行网页抓取:分步指南
selenium·测试工具·microsoft
骑士雄师11 小时前
大模型:MessagesPlaceholder 是什么?
服务器·windows·microsoft
Helen_cai11 小时前
OpenHarmony CustomDialog 自定义弹窗全场景开发与 API23 + 适配优化
运维·服务器·microsoft
女神下凡1 天前
office系列软件 激活破解(office 2019, 2021, 2024)
人工智能·microsoft
XUHUOJUN1 天前
Azure Local离线模式部署 Appliance(系列篇之九)
microsoft·azure local