在網(wǎng)絡安全行業(yè)，我們常說：“未被定義的風險，是最大的隱患?！?/p>

然而，當我們在談論人工智能（AI）的安全風險時，甚至連“什么是漏洞”這件事，廠商和安全研究員都還沒能達成共識。

最近，一起關(guān)于 Microsoft Copilot 的漏洞爭議，在圈內(nèi)引發(fā)了激烈討論。一名安全工程師聲稱發(fā)現(xiàn)了Copilot的多個高危漏洞，結(jié)果卻被微軟一一拒收，理由是——“這些不符合我們的漏洞服務標準”。

這究竟是大廠傲慢，還是技術(shù)認知的偏差？在AI大模型深入企業(yè)核心業(yè)務的今天，這場爭論背后的邏輯，值得每一位網(wǎng)安人深思。

爭議焦點：是“漏洞”還是“特性”？

事情的起因源自網(wǎng)絡安全工程師 John Russell 在 LinkedIn 上的一篇“控訴”。他上個月向微軟報告了4個所謂的Copilot漏洞，但收到的回復都是“不符合服務條件”。

被微軟拒收的這些問題包括：

1. 直接和間接的提示詞注入，導致系統(tǒng)提示詞泄露；

2. 利用 Base64 編碼繞過 Copilot 的文件上傳類型限制；

3. 在 Copilot 隔離的 Linux 環(huán)境中執(zhí)行命令。

在這些問題中，Base64 編碼繞過文件上傳限制尤為引人玩味。

我們都知道，為了防止惡意文件上傳，AI助手通常會限制某些“高風險”文件格式。但 Russell 發(fā)現(xiàn)了一個簡單的“魔法”：只要把這些文件轉(zhuǎn)換成 Base64 文本字符串，存入 .txt 文件上傳，就能輕松騙過初始檢查。

一旦文件上傳成功，用戶只需在對話中要求 Copilot 解碼這段文本，原本被禁止的文件就“借尸還魂”了，Copilot 甚至會對其進行分析。這就好比保安只查包裹上的標簽，卻不打開看看里面裝的到底是什么。

行業(yè)分歧：已知限制還是設計缺陷？

這一現(xiàn)象立刻引發(fā)了安全社區(qū)的“站隊”。

資深網(wǎng)絡安全專家 Raj Marathe 表示贊同，他回憶起去年見過的一個Demo：有人將提示詞攻擊代碼隱藏在 Word 文檔中上傳，導致 Copilot “發(fā)瘋”甚至鎖定了用戶。這說明問題不僅真實存在，而且后果可能很嚴重。

但反方觀點同樣犀利。安全研究員 Cameron Criswell 指出，這些路徑相對已知，本質(zhì)上是因為大語言模型（LLM）至今仍難以完美區(qū)分“數(shù)據(jù)”與“指令”。

Criswell 認為，這只是大模型的通病，只要模型還要保持實用性，這種風險就很難根除。如果把這都算作漏洞，那AI可能就沒法用了。

對此，John Russell 并不買賬。他反駁道，競爭對手 Anthropic 的 Claude 就能完美拒絕這些攻擊手段。這說明這不是模型原理的死結(jié)，而是輸入驗證做得到不到位的問題。

深度解讀：到底誰說了算？

要理解微軟的立場，我們需要先搞懂一個核心概念：系統(tǒng)提示詞。

它是隱藏在AI背后的“上帝指令”，決定了AI能說什么、不能說什么。如果系統(tǒng)提示詞里包含敏感信息，或者被黑客通過注入攻擊篡改，后果不堪設想。

然而，OWASP GenAI 項目 對此給出了一個非常“中立且精辟”的界定：“系統(tǒng)提示詞泄露本身并不代表真正的風險。真正的風險在于其后果——敏感信息泄露、繞過護欄、權(quán)限混亂等?！?/strong>

簡單來說，OWASP 認為，僅僅知道系統(tǒng)提示詞寫了什么（泄露），并不等同于造成了實質(zhì)性危害。除非攻擊者利用這些信息干成了壞事。

微軟正是基于這一邏輯做出了判斷。根據(jù)其公開的“漏洞判定標準”，如果一個報告沒有跨越明確的安全邊界，或者影響僅限于用戶自身的執(zhí)行環(huán)境，亦或是只是暴露了一些低權(quán)限信息，微軟就不認為這是需要立即修復的“安全漏洞”。

微軟發(fā)言人在回應 BleepingComputer 時也強調(diào)了這一點：“如果安全邊界沒有被跨越，或者影響僅限于請求用戶的執(zhí)行環(huán)境，這種情況通常被視為超出范圍?！?/strong>

安全牛視角：給甲方的啟示

作為網(wǎng)安從業(yè)者，我們不僅要看熱鬧，更要看門道。這場“公說公有理，婆說婆有理”的爭論，給正在積極擁抱AI的企業(yè)安全團隊提了個醒：

1. 不要迷信大廠的“安全背書”：廠商從商業(yè)利益出發(fā)，往往會將某些風險界定為“預期行為”。作為甲方，你必須有自己的判斷標準。

2. 重新審視你的AI安全邊界：Copilot 的 Base64 繞過問題提醒我們，傳統(tǒng)的基于文件類型的檢測在AI時代已經(jīng)失效。你需要關(guān)注的是數(shù)據(jù)流本身，而不僅僅是文件后綴。

3. 建立防御機制：既然AI模型難以區(qū)分指令與數(shù)據(jù)，那么在AI接入企業(yè)核心數(shù)據(jù)前，必須部署中間層進行嚴格的輸入清洗和輸出過濾。

隨著以 MCP (Model Context Protocol) 為代表的AI連接協(xié)議逐漸成為標準，模型與工具、數(shù)據(jù)的交互將更加頻繁和復雜。這也意味著，類似的爭議只會越來越多，不會越來越少。

結(jié)語

在這個技術(shù)狂飆突進的時代，安全總是滯后于功能。Copilot 是否存在漏洞，或許在微軟的Bug Bar 上有明確的定義，但在企業(yè)的實際攻防場景中，任何被利用來繞過限制的手段，都是我們需要正視的威脅。

對于安全人來說，重要的不是爭論名詞的定義，而是構(gòu)建起足以應對這些“模糊邊界”的防御體系。

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com