歐盟人工智能法案:四種AI系統風險類型的劃分及監管措施
作者:趙志東 蔡佳雯來源:區塊鏈日報該法案采用風險分級的規制路徑,將人工智能系統的風險劃分成不可接受的風險、高風險、有限風險和輕微風險四種類型,并針對不同類型施加了不同
6 月 12 日消息,安全公司 Aim Labs 昨日(6 月 11 日)發布博文,披露了針對 Microsoft 365 Copilot 聊天機器人的復雜漏洞 EchoLeak,無需用戶交互參與,被黑客利用可竊取敏感數據,微軟目前已修復。
該漏洞追蹤編號為 CVE-2025-32711,漏洞嚴重性評分高達 9.3,微軟表示已完成全面修復,確認沒有客戶受影響。
根據 Aim Labs 披露的細節,該漏洞源于 Microsoft 365 Copilot 所依賴的檢索增強生成(RAG)系統,其核心設計存在缺陷。
注:Copilot 通過 Microsoft Graph 訪問組織數據,涵蓋郵件、OneDrive 文件、SharePoint 站點和 Teams 對話等敏感內容。而攻擊者可以利用大語言模型權限越界(LLM Scope Violation)技術,通過外部郵件嵌入惡意指令,誘導 AI 系統訪問并泄露特權數據。
研究人員展示了“EchoLeak”的多階段攻擊鏈,成功繞過微軟多項安全措施。首先,他們通過偽裝郵件內容,規避了跨提示注入攻擊(XPIA)分類器,讓郵件看似是給人類用戶的指令。
其次,他們利用微軟鏈接過濾系統的弱點,采用引用式 Markdown 格式隱藏惡意內容。此外,攻擊通過嵌入惡意圖片引用,觸發瀏覽器向攻擊者控制的服務器發送請求,自動泄露數據。
研究人員還巧妙利用微軟 Teams 的合法基礎設施繞過內容安全策略限制。為提高攻擊成功率,研究人員開發了“RAG spraying”技術,通過多主題郵件內容匹配 Copilot 的語義搜索系統。
微軟安全公告確認,“EchoLeak”漏洞的 CVSS 評分為 9.3,屬于極高危級別。公司強調,該漏洞已通過服務端修復“全面緩解”,無需客戶采取任何行動。目前沒有證據顯示該漏洞在現實中被利用,未對任何客戶造成影響。
本文鏈接:http://www.tebozhan.com/showinfo-45-13720-0.html9.3 分 Microsoft 365 Copilot 高危漏洞被微軟修復:無交互竊取敏感數據
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號