Microsoft 365 Copilot爆資安漏洞 駭客利用繪圖功能竊取企業敏感資料

記者孫敬／編譯

微軟（Microsoft）近期證實並已修復AI助理Microsoft 365 Copilot中的一個資安漏洞，攻擊者可利用間接提示注入（Indirect Prompt Injection），誘騙AI助理竊取用戶內部的敏感資料，例如電子郵件等核心機密文件。目前資安漏洞已修復，但發現並回報此問題的資安研究員Adam Logue卻無法獲得獎金，因為微軟認定M365 Copilot不在漏洞獎勵計畫的範圍內。

延伸閱讀：Google無付費爬蟲訓練AI惹議？Cloudflare籲企業應競爭而非壟斷

資安研究員揭密攻擊手法，繪圖工具成數據外洩幫兇

資安研究員Adam Logue發現的這項資料竊取漏洞，關鍵在於濫用M365 Copilot內建對Mermaid繪圖工具的支援，Mermaid是一款基於JavaScript的工具，允許使用者透過文字提示生成圖表。

Logue指出，Mermaid圖表不僅能與Copilot深度整合，還支援CSS樣式，這為數據外洩創造了攻擊途徑。因為M365 Copilot可以即時生成Mermaid圖表，並在圖表中夾帶從其他工具中檢索到的數據，這種攻擊屬於間接提示注入，與直接向AI系統提交惡意指令不同，它將惡意指令嵌入到一個看似無害的提示中，讓模型在執行正常任務時一併執行惡意行為。

Logue為了驗證，他要求M365 Copilot總結一份特製的財務報告文件，而真正的間接提示注入惡意負載就隱藏在文件中，AI助理使用內建的search_enterprise_emails工具抓取用戶最近的電子郵件內容，隨後將內容轉換為Hex編碼字串，並拆分成多行，準備進行外傳。

接下來，Logue利用Mermaid的整合功能，生成了一個外觀酷似登入按鈕的圖表，並提示用戶必須點擊才能查看文件。這個假的登入按鈕中嵌入了CSS樣式元素，其中包含一個連向攻擊者控制伺服器的超連結。當用戶點擊按鈕時，那些已被Hex編碼隱藏的敏感資料（即電子郵件清單）便會透過HTTP請求，被秘密傳輸到攻擊者的伺服器，完成機密數據的竊取。

微軟迅速修補，承諾重新審查漏洞獎勵計畫標準

Logue研究員負責地向微軟通報了此一漏洞，微軟也隨即確認並完成了修復，經再次測試確認攻擊失效，證明漏洞確實已被堵上。

微軟發言人對此回應表示，他們感謝Adam Logue的幫忙，並強調客戶無需採取任何行動即可受到保護。然而，Logue並未獲得漏洞獎金，因為M365 Copilot目前並未納入漏洞獎勵計畫的範圍內。微軟表示，他們正持續審查並調整現行的計畫標準，以適應不斷演進的新技術與攻擊手法，暗示未 M365 Copilot相關的漏洞或許有機會獲得獎勵。

資料來源：The Register