漏洞概要
CVE-2025-32711,被命名为 EchoLeak,是 Microsoft 365 Copilot 中的一个零点击漏洞,CVSS 评分 9.3(严重)。
该漏洞由 Aim Security 发现,允许攻击者在不触发任何用户交互的情况下,利用 Copilot 的 RAG(检索增强生成)能力,跨文档静默窃取敏感数据。微软已在收到报告后发布修复补丁,目前未被发现在野利用。
技术细节:EchoLeak 的攻击链
EchoLeak 的攻击链由四个精心设计的绕过步骤组成:
Step 1:绕过 XPIA 分类器
攻击者将恶意指令嵌入邮件正文,利用某种方式使 XPIA(跨产品信息助理)分类器将指令发送给收件人而非 LLM,绕过第一层安全过滤。
Step 2:利用 Markdown 链接绕过编辑功能
Copilot 在处理邮件时,会解析 Markdown 格式的引用链接([ref])。攻击者利用这一机制,构造特殊的 Markdown 链接,绕过 Copilot 的链接编辑安全检查。
Step 3:利用 Teams URL 格式绕过 CSP
攻击者利用 Microsoft Teams URL 格式的 /urlp/v1/url/content 端点,绕过内容安全策略(CSP)限制,使恶意请求能够发出。
Step 4:通过外链图片进行数据外泄
最终,攻击者通过外链图片的 GET 请求,将窃取的 M365 数据以 URL 查询参数形式发送到攻击者控制的服务器。Copilot 在渲染外链图片时会自动发起 GET 请求,这个过程不需要用户交互——零点击。
为什么这很严重
1. Copilot 是企业中最广泛部署的 AI Agent
Microsoft 365 Copilot 已集成到 Outlook、Teams、Word、Excel、PowerPoint、OneDrive、SharePoint 等核心生产力工具中。全球数亿企业用户依赖 Copilot 处理日常办公任务。一个影响如此广泛的 AI Agent 的零点击漏洞,其潜在影响面是巨大的。
2. 漏洞利用了 RAG 架构的根本性挑战
EchoLeak 不是普通的 Web 漏洞——它利用了 RAG 架构中跨文档/跨上下文的数据隔离难题。Copilot 的核心能力是”读取你的所有文档并回答相关问题”,这种设计天然模糊了文档之间的权限边界。攻击者不需要直接访问文档 A,只需要让 Copilot 在处理文档 B 的同时”顺带”读取文档 A 的数据。
3. 零点击 + 静默窃取的组合
不需要用户点击任何链接、不需要用户确认任何操作。攻击者只需要发送一封看似无害的邮件到用户的收件箱,当 Copilot 处理这封邮件时,窃取行为就自动发生了。
对 AI Agent 安全的启示
- RAG 数据隔离需要重新设计——当前的文档级权限模型不足以应对 AI Agent 的跨上下文推理能力
- 建议立即采取的缓解措施:
- 禁用外部邮件的 RAG 接入
- 强制实施 DLP(数据防泄漏)标签策略
- 应用提示级别的输入/输出过滤器
- 这不是 Copilot 独有的问题——所有基于 RAG 的 AI Agent 都存在类似的作用域违规风险
参考资料
- SC World — Microsoft 365 Copilot ‘zero-click’ vulnerability enabled data exfiltration(2026-06-17)
- Aim Security 漏洞披露报告
- CVE-2025-32711 条目(NVD)
- SOCRadar 专家建议 — RAG Agent 安全缓解措施
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/echoleak-cve-2025-32711-copilot.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)