真实漏洞：只需给你发一封邮件，AI就会把所有文件打包给黑客

去年六月，微软悄悄在例行补丁更新里修复了一个漏洞，官方编号CVE-2025-32711，危险等级评分9.3分（满分10分）。大多数人没注意到这条新闻，但安全圈的人看到评分之后都沉默了一下。这个漏洞有个绰号叫"EchoLeak"，它的攻击方式是这样的：黑客给你发一封看起来完全正常的工作邮件，什么都不用你点，什么都不用你下载，只要这封邮件躺在你的收件箱里，下次你打开Microsoft 365 Copilot随口问一句"帮我整理一下今天的工作重点"——你的Outlook邮件、Teams聊天记录、OneDrive文件、SharePoint文档，全部有可能被悄悄打包发给黑客。整个过程你毫无感知，Copilot的界面上显示的，只是一个正常的回答。研究人员把它称为"史上第一个针对生产AI系统的零点击提示注入攻击"。你没有点任何东西，没有下载任何附件，就已经被完整地洗劫了。

要理解EchoLeak是怎么做到这件事的，必须先搞清楚"提示注入"这个词到底是什么意思。这是AI投毒六种攻击方式里最独特的一种——前五种，不管是数据投毒、模型后门、对抗样本还是供应链投毒，攻击者都需要在某个阶段接触模型的训练数据或权重，相当于"在出厂前就动了手脚"。而提示注入完全不同，它针对的是AI正在运行的那一刻：攻击者不需要碰模型，只需要把一段恶意指令伪装成普通内容，混进AI正在处理的数据流里——邮件、文档、网页、评论——AI就会把这段指令当作真实的任务去执行。这个漏洞的根源在于LLM一个天然的架构缺陷：它无法从本质上区分"开发者给它的系统指令"和"用户输入的普通数据"，因为两者对它来说都是自然语言，都长得一样。你给AI一个命令，黑客也给AI一个命令，AI不知道该听谁的。

EchoLeak之所以被称为"零点击"，是因为它把这个漏洞推到了极限。研究团队的攻击链设计非常精巧：恶意指令被藏在一封措辞平常的邮件里，用特殊方式写成Copilot的AI过滤器识别不出来的格式。当你用Copilot处理任何工作任务时，Copilot会自动调取你邮箱里的相关内容作为上下文——这是它"聪明"的地方，也是被武器化的地方。一旦那封恶意邮件被Copilot调取，隐藏在里面的指令就开始执行：找出你上下文里最敏感的信息，把它们编码成一个外链，嵌入Copilot的正常回复里，数据就这样静默地流向了黑客控制的服务器。整个过程没有代码运行，没有病毒文件，没有任何传统安全工具可以检测的痕迹——因为攻击的"武器"是几行普通文字，而执行攻击的，是你自己每天在用的那个AI助手。微软给这个漏洞打出9.3分的危险评级，覆盖范围是全球超过十四亿台Windows设备生态里的M365用户，这个数字已经不需要再做任何说明。

EchoLeak是最戏剧性的案例，但提示注入的故事在它之前就已经开始了。2023年底，一家美国雪佛兰经销商上线了一个AI客服机器人，用来自动回答用户的选车咨询问题。一个用户发现了这个机器人的破绽，用一段精心设计的对话绕过了它的销售规则，最终让这个AI客服"同意"以1美元的价格出售一辆2024款SUV，并承诺"这是一个具有约束力的报价"。截图传到社交媒体之后，相关话题的浏览量超过两千万。很多人当时的第一反应是"哈哈，AI真傻"——但如果你理解了提示注入的攻击逻辑，你会发现这个反应完全搞错了方向：AI没有"傻"，它只是按照接收到的指令在工作，只不过那个指令是用户输入的，而不是开发者写的。这不是AI的智力问题，这是架构设计的边界问题。而EchoLeak告诉我们，当AI变得越来越"能干"、能够主动调取和处理各种敏感数据时，这个边界问题会变成什么级别的安全漏洞。

说到这里，OWASP（开放式Web应用安全项目）2025年发布的《大语言模型十大安全风险》榜单值得提一下：提示注入连续排名第一。OWASP给出的理由很直接：相比其他AI安全威胁，提示注入的攻击门槛极低——不需要任何专业工具，不需要接触目标系统，只需要懂得怎么措辞；同时，它的防御极其困难，因为你不可能告诉一个需要处理自然语言的AI"不要处理某种类型的自然语言"，这本身就是个悖论。微软为了防住EchoLeak，打了一个相当复杂的补丁，同时升级了跨提示注入攻击分类器、加强了输入过滤、限制了Copilot访问外部链接的权限——这些都是有效的防御措施，但它们防住的是EchoLeak这一种具体攻击，而不是提示注入这一整个类别。就在微软发布补丁后不久，安全研究者已经在研究新的绕过方法。这场猫鼠游戏不会因为打了一个补丁而结束。

那普通用户能做什么？几件事可以立刻开始：第一，对AI助手的权限要像对新员工一样谨慎——不要在一开始就给它访问所有邮件、所有文件的权限，能限制到最小范围就限制到最小范围；第二，当AI助手的回复里出现任何你没有主动请求的链接、图片或外部内容时，要有条件反射式的警惕，不要点；第三，如果你的公司在用企业版AI助手，一定要确认供应商有没有针对间接提示注入做过专项的安全测试，这个问题可以直接写进采购需求里。这些不是终极防御，但足够过滤掉大多数机会性攻击。更根本的防御需要来自产品侧：更细粒度的权限隔离、更严格的输入来源标注、指令与数据在处理层面真正的分离——这是整个AI行业目前正在努力的方向，但还没有任何一家公司宣称彻底解决了这个问题。

在评论区聊聊三个问题：你现在使用的AI办公工具，有没有主动查过它能访问你哪些数据、有没有做过安全权限的最小化配置？雪佛兰AI客服被1美元骗卖SUV这件事，你觉得法律责任应该归属于谁——用户、经销商，还是AI产品提供商？最后这个问题，留给所有在用AI处理工作邮件的朋友：如果今天有人给你发了一封EchoLeak风格的邮件，在微软发补丁之前，你有没有任何办法自己察觉到这件事正在发生？