PulseAugur
实时 22:44:33
English(EN) EchoLeak: zero-click data theft from an AI assistant

EchoLeak漏洞允许从Microsoft Copilot进行零点击数据盗窃

一个名为EchoLeak的关键漏洞(已于2025年6月被Microsoft修补)允许从Microsoft 365 Copilot进行零点击数据盗窃。该漏洞利用一封带有恶意markdown指令的电子邮件,当Copilot在用户查询期间处理该指令时,会导致AI通过出站URL泄露敏感数据。此攻击绕过了传统的用户交互,因为受害者无需打开电子邮件或点击任何链接,凸显了检索增强生成(RAG)系统中的重大安全风险。 AI

影响 凸显了RAG系统中的关键安全漏洞,需要强大的数据泄露控制,并将所有检索到的内容视为不可信。

排序理由 文章详细介绍了广泛使用的AI驱动产品中的一个特定漏洞及其修补程序,而不是新的模型发布或基础研究。

在 dev.to — LLM tag 阅读 →

AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →

EchoLeak漏洞允许从Microsoft Copilot进行零点击数据盗窃

报道来源 [1]

  1. dev.to — LLM tag TIER_1 English(EN) · Brenn Hill ·

    EchoLeak: zero-click data theft from an AI assistant

    <p>In June 2025, Microsoft patched a vulnerability in Microsoft 365 Copilot tracked as <a href="https://nvd.nist.gov/vuln/detail/cve-2025-32711" rel="noopener noreferrer">CVE-2025-32711</a>, CVSS 9.3, and named <strong>EchoLeak</strong> by the researchers who found it at Aim Labs…