真實漏洞：只需給你發一封郵件，AI就會把所有文件打包給黑客

去年六月，微軟悄悄在例行補丁更新里修復了一個漏洞，官方編號CVE-2025-32711，危險等級評分9.3分（滿分10分）。大多數人沒注意到這條新聞，但安全圈的人看到評分之后都沉默了一下。這個漏洞有個綽號叫"EchoLeak"，它的攻擊方式是這樣的：黑客給你發一封看起來完全正常的工作郵件，什么都不用你點，什么都不用你下載，只要這封郵件躺在你的收件箱里，下次你打開Microsoft 365 Copilot隨口問一句"幫我整理一下今天的工作重點"——你的Outlook郵件、Teams聊天記錄、OneDrive文件、SharePoint文檔，全部有可能被悄悄打包發給黑客。整個過程你毫無感知，Copilot的界面上顯示的，只是一個正常的回答。研究人員把它稱為"史上第一個針對生產AI系統的零點擊提示注入攻擊"。你沒有點任何東西，沒有下載任何附件，就已經被完整地洗劫了。

要理解EchoLeak是怎么做到這件事的，必須先搞清楚"提示注入"這個詞到底是什么意思。這是AI投毒六種攻擊方式里最獨特的一種——前五種，不管是數據投毒、模型后門、對抗樣本還是供應鏈投毒，攻擊者都需要在某個階段接觸模型的訓練數據或權重，相當于"在出廠前就動了手腳"。而提示注入完全不同，它針對的是AI正在運行的那一刻：攻擊者不需要碰模型，只需要把一段惡意指令偽裝成普通內容，混進AI正在處理的數據流里——郵件、文檔、網頁、評論——AI就會把這段指令當作真實的任務去執行。這個漏洞的根源在于LLM一個天然的架構缺陷：它無法從本質上區分"開發者給它的系統指令"和"用戶輸入的普通數據"，因為兩者對它來說都是自然語言，都長得一樣。你給AI一個命令，黑客也給AI一個命令，AI不知道該聽誰的。

EchoLeak之所以被稱為"零點擊"，是因為它把這個漏洞推到了極限。研究團隊的攻擊鏈設計非常精巧：惡意指令被藏在一封措辭平常的郵件里，用特殊方式寫成Copilot的AI過濾器識別不出來的格式。當你用Copilot處理任何工作任務時，Copilot會自動調取你郵箱里的相關內容作為上下文——這是它"聰明"的地方，也是被武器化的地方。一旦那封惡意郵件被Copilot調取，隱藏在里面的指令就開始執行：找出你上下文里最敏感的信息，把它們編碼成一個外鏈，嵌入Copilot的正常回復里，數據就這樣靜默地流向了黑客控制的服務器。整個過程沒有代碼運行，沒有病毒文件，沒有任何傳統安全工具可以檢測的痕跡——因為攻擊的"武器"是幾行普通文字，而執行攻擊的，是你自己每天在用的那個AI助手。微軟給這個漏洞打出9.3分的危險評級，覆蓋范圍是全球超過十四億臺Windows設備生態里的M365用戶，這個數字已經不需要再做任何說明。

EchoLeak是最戲劇性的案例，但提示注入的故事在它之前就已經開始了。2023年底，一家美國雪佛蘭經銷商上線了一個AI客服機器人，用來自動回答用戶的選車咨詢問題。一個用戶發現了這個機器人的破綻，用一段精心設計的對話繞過了它的銷售規則，最終讓這個AI客服"同意"以1美元的價格出售一輛2024款SUV，并承諾"這是一個具有約束力的報價"。截圖傳到社交媒體之后，相關話題的瀏覽量超過兩千萬。很多人當時的第一反應是"哈哈，AI真傻"——但如果你理解了提示注入的攻擊邏輯，你會發現這個反應完全搞錯了方向：AI沒有"傻"，它只是按照接收到的指令在工作，只不過那個指令是用戶輸入的，而不是開發者寫的。這不是AI的智力問題，這是架構設計的邊界問題。而EchoLeak告訴我們，當AI變得越來越"能干"、能夠主動調取和處理各種敏感數據時，這個邊界問題會變成什么級別的安全漏洞。

說到這里，OWASP（開放式Web應用安全項目）2025年發布的《大語言模型十大安全風險》榜單值得提一下：提示注入連續排名第一。OWASP給出的理由很直接：相比其他AI安全威脅，提示注入的攻擊門檻極低——不需要任何專業工具，不需要接觸目標系統，只需要懂得怎么措辭；同時，它的防御極其困難，因為你不可能告訴一個需要處理自然語言的AI"不要處理某種類型的自然語言"，這本身就是個悖論。微軟為了防住EchoLeak，打了一個相當復雜的補丁，同時升級了跨提示注入攻擊分類器、加強了輸入過濾、限制了Copilot訪問外部鏈接的權限——這些都是有效的防御措施，但它們防住的是EchoLeak這一種具體攻擊，而不是提示注入這一整個類別。就在微軟發布補丁后不久，安全研究者已經在研究新的繞過方法。這場貓鼠游戲不會因為打了一個補丁而結束。

那普通用戶能做什么？幾件事可以立刻開始：第一，對AI助手的權限要像對新員工一樣謹慎——不要在一開始就給它訪問所有郵件、所有文件的權限，能限制到最小范圍就限制到最小范圍；第二，當AI助手的回復里出現任何你沒有主動請求的鏈接、圖片或外部內容時，要有條件反射式的警惕，不要點；第三，如果你的公司在用企業版AI助手，一定要確認供應商有沒有針對間接提示注入做過專項的安全測試，這個問題可以直接寫進采購需求里。這些不是終極防御，但足夠過濾掉大多數機會性攻擊。更根本的防御需要來自產品側：更細粒度的權限隔離、更嚴格的輸入來源標注、指令與數據在處理層面真正的分離——這是整個AI行業目前正在努力的方向，但還沒有任何一家公司宣稱徹底解決了這個問題。

在評論區聊聊三個問題：你現在使用的AI辦公工具，有沒有主動查過它能訪問你哪些數據、有沒有做過安全權限的最小化配置？雪佛蘭AI客服被1美元騙賣SUV這件事，你覺得法律責任應該歸屬于誰——用戶、經銷商，還是AI產品提供商？最后這個問題，留給所有在用AI處理工作郵件的朋友：如果今天有人給你發了一封EchoLeak風格的郵件，在微軟發補丁之前，你有沒有任何辦法自己察覺到這件事正在發生？