元宇宙終究沒火過兩年
來源:傳播體操在ChatGPT快速破圈的同時(shí),元宇宙的熱度卻一瀉千里。雖然互聯(lián)網(wǎng)大廠們都沒有否認(rèn)元宇宙的長(zhǎng)期想象力,但在行動(dòng)上卻都紛紛表示了對(duì)元宇宙短期前景的悲觀。號(hào)稱改變
6 月 12 日消息,安全公司 Aim Labs 昨日(6 月 11 日)發(fā)布博文,披露了針對(duì) Microsoft 365 Copilot 聊天機(jī)器人的復(fù)雜漏洞 EchoLeak,無需用戶交互參與,被黑客利用可竊取敏感數(shù)據(jù),微軟目前已修復(fù)。
該漏洞追蹤編號(hào)為 CVE-2025-32711,漏洞嚴(yán)重性評(píng)分高達(dá) 9.3,微軟表示已完成全面修復(fù),確認(rèn)沒有客戶受影響。
根據(jù) Aim Labs 披露的細(xì)節(jié),該漏洞源于 Microsoft 365 Copilot 所依賴的檢索增強(qiáng)生成(RAG)系統(tǒng),其核心設(shè)計(jì)存在缺陷。
注:Copilot 通過 Microsoft Graph 訪問組織數(shù)據(jù),涵蓋郵件、OneDrive 文件、SharePoint 站點(diǎn)和 Teams 對(duì)話等敏感內(nèi)容。而攻擊者可以利用大語言模型權(quán)限越界(LLM Scope Violation)技術(shù),通過外部郵件嵌入惡意指令,誘導(dǎo) AI 系統(tǒng)訪問并泄露特權(quán)數(shù)據(jù)。
研究人員展示了“EchoLeak”的多階段攻擊鏈,成功繞過微軟多項(xiàng)安全措施。首先,他們通過偽裝郵件內(nèi)容,規(guī)避了跨提示注入攻擊(XPIA)分類器,讓郵件看似是給人類用戶的指令。
其次,他們利用微軟鏈接過濾系統(tǒng)的弱點(diǎn),采用引用式 Markdown 格式隱藏惡意內(nèi)容。此外,攻擊通過嵌入惡意圖片引用,觸發(fā)瀏覽器向攻擊者控制的服務(wù)器發(fā)送請(qǐng)求,自動(dòng)泄露數(shù)據(jù)。
研究人員還巧妙利用微軟 Teams 的合法基礎(chǔ)設(shè)施繞過內(nèi)容安全策略限制。為提高攻擊成功率,研究人員開發(fā)了“RAG spraying”技術(shù),通過多主題郵件內(nèi)容匹配 Copilot 的語義搜索系統(tǒng)。
微軟安全公告確認(rèn),“EchoLeak”漏洞的 CVSS 評(píng)分為 9.3,屬于極高危級(jí)別。公司強(qiáng)調(diào),該漏洞已通過服務(wù)端修復(fù)“全面緩解”,無需客戶采取任何行動(dòng)。目前沒有證據(jù)顯示該漏洞在現(xiàn)實(shí)中被利用,未對(duì)任何客戶造成影響。
本文鏈接:http://www.tebozhan.com/showinfo-45-13720-0.html9.3 分 Microsoft 365 Copilot 高危漏洞被微軟修復(fù):無交互竊取敏感數(shù)據(jù)
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
上一篇: 消息稱英偉達(dá)、三星聯(lián)手投資 AI 機(jī)器人公司 Skild AI,估值達(dá) 45 億美元
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)