6 月 12 日消息，安全公司 Aim Labs 昨日（6 月 11 日）發布博文，披露了針對 Microsoft 365 Copilot 聊天機器人的復雜漏洞 EchoLeak，無需用戶交互參與，被黑客利用可竊取敏感數據，微軟目前已修復。LfA28資訊網——每日最新資訊28at.com

該漏洞追蹤編號為 CVE-2025-32711，漏洞嚴重性評分高達 9.3，微軟表示已完成全面修復，確認沒有客戶受影響。LfA28資訊網——每日最新資訊28at.com

根據 Aim Labs 披露的細節，該漏洞源于 Microsoft 365 Copilot 所依賴的檢索增強生成（RAG）系統，其核心設計存在缺陷。LfA28資訊網——每日最新資訊28at.com

注：Copilot 通過 Microsoft Graph 訪問組織數據，涵蓋郵件、OneDrive 文件、SharePoint 站點和 Teams 對話等敏感內容。而攻擊者可以利用大語言模型權限越界（LLM Scope Violation）技術，通過外部郵件嵌入惡意指令，誘導 AI 系統訪問并泄露特權數據。LfA28資訊網——每日最新資訊28at.com

研究人員展示了“EchoLeak”的多階段攻擊鏈，成功繞過微軟多項安全措施。首先，他們通過偽裝郵件內容，規避了跨提示注入攻擊（XPIA）分類器，讓郵件看似是給人類用戶的指令。LfA28資訊網——每日最新資訊28at.com

其次，他們利用微軟鏈接過濾系統的弱點，采用引用式 Markdown 格式隱藏惡意內容。此外，攻擊通過嵌入惡意圖片引用，觸發瀏覽器向攻擊者控制的服務器發送請求，自動泄露數據。LfA28資訊網——每日最新資訊28at.com

研究人員還巧妙利用微軟 Teams 的合法基礎設施繞過內容安全策略限制。為提高攻擊成功率，研究人員開發了“RAG spraying”技術，通過多主題郵件內容匹配 Copilot 的語義搜索系統。LfA28資訊網——每日最新資訊28at.com

微軟安全公告確認，“EchoLeak”漏洞的 CVSS 評分為 9.3，屬于極高危級別。公司強調，該漏洞已通過服務端修復“全面緩解”，無需客戶采取任何行動。目前沒有證據顯示該漏洞在現實中被利用，未對任何客戶造成影響。LfA28資訊網——每日最新資訊28at.com

LfA28資訊網——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-45-13720-0.html9.3 分 Microsoft 365 Copilot 高危漏洞被微軟修復：無交互竊取敏感數據

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 消息稱英偉達、三星聯手投資 AI 機器人公司 Skild AI，估值達 45 億美元

下一篇： 追星亂象！飛機滑行時粉絲闖入機艙頭部拍攝，安全何在？