主要观点：Aim Labs 发现微软 365 Copilot 的“EchoLeak”零点击 AI 漏洞，披露攻击链可用于微软 MSRC 团队，此攻击链展示新利用技术“LLM 范围违规”，可自动从 M365 Copilot 上下文窃取敏感信息，无需用户察觉或特定行为，虽 M365 Copilot 界面仅对组织员工开放，但攻击者只需发邮件即可攻击，该漏洞为数据窃取和勒索攻击提供机会，Aim Labs 继续研究以识别相关漏洞并开发防护措施，目前未影响客户。
关键信息：

• “EchoLeak”是利用 RAG Copilots 典型设计缺陷的漏洞，可自动窃取 M365 Copilot 上下文数据。
• 攻击链包含三步：XPIA 绕过、链接编辑绕过、图像编辑绕过及 SharePoint 和 Microsoft Teams 的 CSP 绕过。
• 利用 RAG 喷洒和 LLM 范围违规两种方法进行攻击，前者可提高恶意邮件检索率，后者是攻击核心。
  重要细节：
• M365 Copilot 是基于 RAG 的聊天机器人，可检索相关内容，虽仅对组织用户开放，但与 Microsoft Graph 集成易受外部威胁。
• 电子邮件中的指令易被视为针对收件人的，检测困难，Aim Labs 定义此漏洞为 LLM 范围违规，描述攻击者指令使 LLM 访问模型上下文内的信任数据。
• XPIA 分类器易被绕过，M365 Copilot 会编辑外部 Markdown 链接，Markdown 图像格式也受链接编辑影响，CSP 限制了浏览器获取图像，而 SharePoint 和 Microsoft Teams 可用于绕过 CSP 进行攻击，攻击者还可让 M365 Copilot 不提及恶意邮件。
• Aim Labs 研究包括攻击的武器化过程及绕过的多种应用防护措施，如 XPIA 分类器、外部链接编辑、CSP 和 M365 Copilot 的引用提及等，Aim Labs 致力于让企业安全采用 AI 并继续研究。