一種名為 EchoLeak 的新型攻擊技術被描述為「零點擊」人工智慧 (AI) 漏洞,它允許不良行為者從 Microsoft 365 (M365) Copilot 的上下文中洩露敏感數據,而無需任何使用者交互。當攻擊者的指令嵌入在不受信任的內容(例如,從組織外部發送的電子郵件)中時,就會發生 LLM 範圍衝突,成功誘騙 AI 系統在沒有明確使用者意圖或交互的情況下訪問和處理特權內部數據。重要的是,無需用戶點擊即可觸發 EchoLeak。攻擊者依靠 Copilot 的預設行為來組合和處理來自 Outlook 和 SharePoint 的內容,而無需隔離信任邊界——將有用的自動化變成無聲的洩漏向量。EchoLeak 特別危險,因為它利用了 Copilot 使用內部文檔訪問許可權檢索和排序數據的方式,攻擊者可以通過嵌入在看似良性來源(如會議記錄或電子郵件鏈)中的有效負載提示間接影響這些數據。
隨著 LLM 代理變得更加有能力和自主性,他們通過 MCP 等協定與外部工具的交互將定義他們作的安全性和可靠性。工具中毒攻擊(尤其是ATPA等高級形式)暴露了當前實施中的關鍵盲點。這還不是全部。鑒於 MCP 使 AI 代理(或助手)能夠以一致的方式與各種工具、服務和數據源進行交互,MCP 用戶端-伺服器架構中的任何漏洞都可能帶來嚴重的安全風險,包括縱代理洩露數據或執行惡意代碼。
最近披露的流行的 GitHub MCP 集成中的一個關鍵安全漏洞證明瞭這一點,如果成功利用該漏洞,可能允許攻擊者通過惡意 GitHub 問題劫持使用者的代理,並在使用者提示模型“查看問題”時脅迫其從私有存儲庫中洩露數據。此行為實質上允許來自惡意網站的用戶端 JavaScript 繞過安全控制,並將受害者專用網路上未暴露在公共互聯網上的其他設備作為目標。
MCP 重新綁定攻擊利用對手控制的網站訪問受害者本地網路上的內部資源的能力,以便通過 SSE 與在本地主機上運行的 MCP 伺服器進行交互,並最終洩露機密數據。通過濫用 SSE 的長期連接,攻擊者可以從外部網路釣魚域轉向針對內部 MCP 伺服器。此外,這是生成式AI產品所發現的首個零點擊漏洞,它仰賴的是AI漏洞,而非特定的使用者行為,也繞過了多項先進的防護措施,證明要保障AI並使其正常運作,可能需要新型態的保護措施。值得注意的是,LLM範圍違規是AI應用獨有的威脅,只要應用程式核心仰賴LLM,而且接受不可靠的輸入,便可能受到類似的攻擊。
然而,研究人員警告,EchoLeak 並非單純的程式錯誤,而是反映了基於大型語言模型的 AI 代理程式存在根本性設計缺陷。大多數企業目前仍處於 AI 代理程式的實驗階段,遲遲不敢大規模部署。專家指出,要徹底解決這類問題,需要對 AI 代理程式的建構方式進行根本性重新設計。解決方案可能包括在模型本身加入更好的指令與資料區分機制,或是在代理程式建構的應用程式層面添加強制性防護措施。隨著 AI 代理程式日益普及,如何在創新與安全之間取得平衡,將成為科技業面臨的重大課題。
參考資料:
https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html
https://www.ithome.com.tw/news/169500