去年六月，微軟悄悄在例行補(bǔ)丁更新里修復(fù)了一個(gè)漏洞，官方編號(hào)CVE-2025-32711，危險(xiǎn)等級(jí)評(píng)分9.3分（滿分10分）。大多數(shù)人沒注意到這條新聞，但安全圈的人看到評(píng)分之后都沉默了一下。這個(gè)漏洞有個(gè)綽號(hào)叫"EchoLeak"，它的攻擊方式是這樣的：黑客給你發(fā)一封看起來(lái)完全正常的工作郵件，什么都不用你點(diǎn)，什么都不用你下載，只要這封郵件躺在你的收件箱里，下次你打開Microsoft 365 Copilot隨口問一句"幫我整理一下今天的工作重點(diǎn)"——你的Outlook郵件、Teams聊天記錄、OneDrive文件、SharePoint文檔，全部有可能被悄悄打包發(fā)給黑客。整個(gè)過(guò)程你毫無(wú)感知，Copilot的界面上顯示的，只是一個(gè)正常的回答。研究人員把它稱為"史上第一個(gè)針對(duì)生產(chǎn)AI系統(tǒng)的零點(diǎn)擊提示注入攻擊"。你沒有點(diǎn)任何東西，沒有下載任何附件，就已經(jīng)被完整地洗劫了。

要理解EchoLeak是怎么做到這件事的，必須先搞清楚"提示注入"這個(gè)詞到底是什么意思。這是AI投毒六種攻擊方式里最獨(dú)特的一種——前五種，不管是數(shù)據(jù)投毒、模型后門、對(duì)抗樣本還是供應(yīng)鏈投毒，攻擊者都需要在某個(gè)階段接觸模型的訓(xùn)練數(shù)據(jù)或權(quán)重，相當(dāng)于"在出廠前就動(dòng)了手腳"。而提示注入完全不同，它針對(duì)的是AI正在運(yùn)行的那一刻：攻擊者不需要碰模型，只需要把一段惡意指令偽裝成普通內(nèi)容，混進(jìn)AI正在處理的數(shù)據(jù)流里——郵件、文檔、網(wǎng)頁(yè)、評(píng)論——AI就會(huì)把這段指令當(dāng)作真實(shí)的任務(wù)去執(zhí)行。這個(gè)漏洞的根源在于LLM一個(gè)天然的架構(gòu)缺陷：它無(wú)法從本質(zhì)上區(qū)分"開發(fā)者給它的系統(tǒng)指令"和"用戶輸入的普通數(shù)據(jù)"，因?yàn)閮烧邔?duì)它來(lái)說(shuō)都是自然語(yǔ)言，都長(zhǎng)得一樣。你給AI一個(gè)命令，黑客也給AI一個(gè)命令，AI不知道該聽誰(shuí)的。

EchoLeak之所以被稱為"零點(diǎn)擊"，是因?yàn)樗堰@個(gè)漏洞推到了極限。研究團(tuán)隊(duì)的攻擊鏈設(shè)計(jì)非常精巧：惡意指令被藏在一封措辭平常的郵件里，用特殊方式寫成Copilot的AI過(guò)濾器識(shí)別不出來(lái)的格式。當(dāng)你用Copilot處理任何工作任務(wù)時(shí)，Copilot會(huì)自動(dòng)調(diào)取你郵箱里的相關(guān)內(nèi)容作為上下文——這是它"聰明"的地方，也是被武器化的地方。一旦那封惡意郵件被Copilot調(diào)取，隱藏在里面的指令就開始執(zhí)行：找出你上下文里最敏感的信息，把它們編碼成一個(gè)外鏈，嵌入Copilot的正?；貜?fù)里，數(shù)據(jù)就這樣靜默地流向了黑客控制的服務(wù)器。整個(gè)過(guò)程沒有代碼運(yùn)行，沒有病毒文件，沒有任何傳統(tǒng)安全工具可以檢測(cè)的痕跡——因?yàn)楣舻?武器"是幾行普通文字，而執(zhí)行攻擊的，是你自己每天在用的那個(gè)AI助手。微軟給這個(gè)漏洞打出9.3分的危險(xiǎn)評(píng)級(jí)，覆蓋范圍是全球超過(guò)十四億臺(tái)Windows設(shè)備生態(tài)里的M365用戶，這個(gè)數(shù)字已經(jīng)不需要再做任何說(shuō)明。

EchoLeak是最戲劇性的案例，但提示注入的故事在它之前就已經(jīng)開始了。2023年底，一家美國(guó)雪佛蘭經(jīng)銷商上線了一個(gè)AI客服機(jī)器人，用來(lái)自動(dòng)回答用戶的選車咨詢問題。一個(gè)用戶發(fā)現(xiàn)了這個(gè)機(jī)器人的破綻，用一段精心設(shè)計(jì)的對(duì)話繞過(guò)了它的銷售規(guī)則，最終讓這個(gè)AI客服"同意"以1美元的價(jià)格出售一輛2024款SUV，并承諾"這是一個(gè)具有約束力的報(bào)價(jià)"。截圖傳到社交媒體之后，相關(guān)話題的瀏覽量超過(guò)兩千萬(wàn)。很多人當(dāng)時(shí)的第一反應(yīng)是"哈哈，AI真傻"——但如果你理解了提示注入的攻擊邏輯，你會(huì)發(fā)現(xiàn)這個(gè)反應(yīng)完全搞錯(cuò)了方向：AI沒有"傻"，它只是按照接收到的指令在工作，只不過(guò)那個(gè)指令是用戶輸入的，而不是開發(fā)者寫的。這不是AI的智力問題，這是架構(gòu)設(shè)計(jì)的邊界問題。而EchoLeak告訴我們，當(dāng)AI變得越來(lái)越"能干"、能夠主動(dòng)調(diào)取和處理各種敏感數(shù)據(jù)時(shí)，這個(gè)邊界問題會(huì)變成什么級(jí)別的安全漏洞。

說(shuō)到這里，OWASP（開放式Web應(yīng)用安全項(xiàng)目）2025年發(fā)布的《大語(yǔ)言模型十大安全風(fēng)險(xiǎn)》榜單值得提一下：提示注入連續(xù)排名第一。OWASP給出的理由很直接：相比其他AI安全威脅，提示注入的攻擊門檻極低——不需要任何專業(yè)工具，不需要接觸目標(biāo)系統(tǒng)，只需要懂得怎么措辭；同時(shí)，它的防御極其困難，因?yàn)槟悴豢赡芨嬖V一個(gè)需要處理自然語(yǔ)言的AI"不要處理某種類型的自然語(yǔ)言"，這本身就是個(gè)悖論。微軟為了防住EchoLeak，打了一個(gè)相當(dāng)復(fù)雜的補(bǔ)丁，同時(shí)升級(jí)了跨提示注入攻擊分類器、加強(qiáng)了輸入過(guò)濾、限制了Copilot訪問外部鏈接的權(quán)限——這些都是有效的防御措施，但它們防住的是EchoLeak這一種具體攻擊，而不是提示注入這一整個(gè)類別。就在微軟發(fā)布補(bǔ)丁后不久，安全研究者已經(jīng)在研究新的繞過(guò)方法。這場(chǎng)貓鼠游戲不會(huì)因?yàn)榇蛄艘粋€(gè)補(bǔ)丁而結(jié)束。

那普通用戶能做什么？幾件事可以立刻開始：第一，對(duì)AI助手的權(quán)限要像對(duì)新員工一樣謹(jǐn)慎——不要在一開始就給它訪問所有郵件、所有文件的權(quán)限，能限制到最小范圍就限制到最小范圍；第二，當(dāng)AI助手的回復(fù)里出現(xiàn)任何你沒有主動(dòng)請(qǐng)求的鏈接、圖片或外部?jī)?nèi)容時(shí)，要有條件反射式的警惕，不要點(diǎn)；第三，如果你的公司在用企業(yè)版AI助手，一定要確認(rèn)供應(yīng)商有沒有針對(duì)間接提示注入做過(guò)專項(xiàng)的安全測(cè)試，這個(gè)問題可以直接寫進(jìn)采購(gòu)需求里。這些不是終極防御，但足夠過(guò)濾掉大多數(shù)機(jī)會(huì)性攻擊。更根本的防御需要來(lái)自產(chǎn)品側(cè)：更細(xì)粒度的權(quán)限隔離、更嚴(yán)格的輸入來(lái)源標(biāo)注、指令與數(shù)據(jù)在處理層面真正的分離——這是整個(gè)AI行業(yè)目前正在努力的方向，但還沒有任何一家公司宣稱徹底解決了這個(gè)問題。

在評(píng)論區(qū)聊聊三個(gè)問題：你現(xiàn)在使用的AI辦公工具，有沒有主動(dòng)查過(guò)它能訪問你哪些數(shù)據(jù)、有沒有做過(guò)安全權(quán)限的最小化配置？雪佛蘭AI客服被1美元騙賣SUV這件事，你覺得法律責(zé)任應(yīng)該歸屬于誰(shuí)——用戶、經(jīng)銷商，還是AI產(chǎn)品提供商？最后這個(gè)問題，留給所有在用AI處理工作郵件的朋友：如果今天有人給你發(fā)了一封EchoLeak風(fēng)格的郵件，在微軟發(fā)補(bǔ)丁之前，你有沒有任何辦法自己察覺到這件事正在發(fā)生？