Microsoft 365 Copilot 高危漏洞曝光，微软紧急修复保安全

近日，安全领域传来新动态，知名安全公司Aim Labs在官方渠道发布了一篇深度报告，揭示了一个针对Microsoft 365 Copilot聊天机器人的重大安全漏洞，该漏洞被命名为“EchoLeak”。据悉，该漏洞能够绕过用户交互，使黑客有机会窃取敏感信息，不过微软方面已经迅速采取行动，完成了漏洞的修复工作。ddH28资讯网——每日最新资讯28at.com

此次披露的漏洞编号为CVE-2025-32711，其严重性评分高达9.3，属于极为危险的级别。微软官方确认，通过服务端的全面修复措施，该漏洞已被有效缓解，且目前尚无证据表明有客户因此受到影响。ddH28资讯网——每日最新资讯28at.com

据Aim Labs的详细分析，EchoLeak漏洞的根源在于Microsoft 365 Copilot所依赖的检索增强生成（RAG）系统存在设计缺陷。Copilot通过Microsoft Graph广泛访问组织内部数据，包括电子邮件、OneDrive文件、SharePoint站点及Teams对话等高度敏感的内容。而攻击者利用大语言模型权限越界技术，通过精心构造的外部邮件，能够诱导AI系统违规访问并泄露这些数据。ddH28资讯网——每日最新资讯28at.com

研究人员详细展示了EchoLeak漏洞的多阶段攻击流程，这一过程巧妙地绕过了微软的多项安全防御措施。首先，他们通过伪装邮件内容，成功规避了跨提示注入攻击（XPIA）分类器的检测，使邮件看起来像是正常的用户指令。接着，利用微软链接过滤系统的漏洞，采用引用式Markdown格式巧妙隐藏恶意内容。更进一步，通过嵌入恶意图片引用，触发浏览器向攻击者控制的服务器发送请求，自动泄露敏感数据。ddH28资讯网——每日最新资讯28at.com

研究人员还充分利用了微软Teams的合法基础设施，规避了内容安全策略的限制。为了提高攻击的成功率，他们还开发了一种名为“RAG spraying”的技术，通过发送包含多个主题的邮件内容，精准匹配Copilot的语义搜索系统，进一步增强了攻击的隐蔽性和有效性。ddH28资讯网——每日最新资讯28at.com

微软在随后的安全公告中重申，“EchoLeak”漏洞的CVSS评分为9.3，属于极高危级别，但公司已通过服务端修复措施全面缓解了该漏洞带来的风险，客户无需采取额外行动。同时，微软强调，目前没有证据表明该漏洞已被实际利用，也未对任何客户造成实质性影响。ddH28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-21-159143-0.htmlMicrosoft 365 Copilot 高危漏洞曝光，微软紧急修复保安全

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 索尼PS Plus港服6月二三档会员游戏大公开，经典复刻杀出重围来袭！

下一篇： 微星不造AMD RDNA4显卡，微星小飞机开发者自购添支持