EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System

📄 arXiv: 2509.10540v1 📥 PDF

作者: Pavan Reddy, Aditya Sanjay Gujral

分类: cs.CR, cs.AI

发布日期: 2025-09-06

备注: 8 pages content, 1 page references, 2 figures, Published at AAAI Fall Symposium Series 2025

💡 一句话要点

EchoLeak:首个在生产LLM系统中实现的零点击Prompt注入漏洞利用

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: Prompt注入 零点击攻击 LLM安全 数据泄露 AI安全 漏洞分析 安全缓解措施

📋 核心要点

  1. 现有LLM助手在企业应用中面临Prompt注入攻击的安全威胁,尤其是在连接内外部数据源时。
  2. EchoLeak通过绕过多种安全机制,利用零点击方式,成功从Microsoft 365 Copilot中远程窃取数据。
  3. 研究分析了现有防御的不足,并提出了prompt分区、增强过滤等缓解措施,为构建安全AI系统提供指导。

📝 摘要(中文)

大型语言模型(LLM)助手越来越多地集成到企业工作流程中,这引发了新的安全问题,因为它们连接了内部和外部数据源。本文深入研究了EchoLeak(CVE-2025-32711),这是Microsoft 365 Copilot中的一个零点击prompt注入漏洞,它可以通过一封精心设计的电子邮件实现远程、未经身份验证的数据泄露。通过链接多个绕过方法——规避Microsoft的XPIA(跨Prompt注入尝试)分类器,使用引用样式Markdown绕过链接编辑,利用自动获取的图像,以及滥用内容安全策略允许的Microsoft Teams代理——EchoLeak实现了跨LLM信任边界的完全权限提升,而无需用户交互。我们分析了现有防御措施失败的原因,并概述了一系列工程缓解措施,包括prompt分区、增强的输入/输出过滤、基于来源的访问控制和严格的内容安全策略。除了具体的漏洞利用之外,我们还为构建安全的AI副驾驶总结了通用经验,强调了最小权限原则、深度防御架构和持续的对抗性测试。我们的发现确立了prompt注入作为生产AI系统中一种实际的、高危漏洞类别,并为防御未来的AI原生威胁提供了蓝图。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLM)在企业应用中面临的Prompt注入攻击问题。现有的防御机制,如XPIA分类器和链接编辑,无法有效阻止恶意攻击者利用LLM助手访问和泄露敏感数据。痛点在于,攻击者可以通过精心构造的输入,绕过安全策略,实现未经授权的数据访问和权限提升。

核心思路:论文的核心思路是通过分析和复现一个真实的零点击Prompt注入漏洞(EchoLeak),揭示现有防御体系的薄弱环节,并提出更有效的缓解措施。该研究强调了深度防御的重要性,即通过多层安全机制,防止攻击者利用单个漏洞实现全面入侵。

技术框架:EchoLeak攻击利用了以下技术环节:1) 绕过Microsoft的XPIA分类器,该分类器旨在检测和阻止Prompt注入尝试;2) 使用引用样式Markdown绕过链接编辑,从而嵌入恶意链接;3) 利用自动获取的图像,触发LLM助手访问外部资源;4) 滥用内容安全策略允许的Microsoft Teams代理,实现数据泄露。整体流程是,攻击者发送一封包含恶意构造的电子邮件,当LLM助手处理该邮件时,无需用户交互即可触发漏洞,导致数据泄露。

关键创新:该研究最重要的技术创新点在于,它首次展示了一个真实的、零点击的Prompt注入漏洞,该漏洞可以在生产环境的LLM系统中被利用。与以往的理论研究或模拟攻击不同,EchoLeak揭示了实际系统中存在的安全漏洞,并提供了具体的攻击步骤和绕过方法。

关键设计:论文的关键设计在于对EchoLeak漏洞的深入分析和复现。研究人员详细分析了每个绕过环节的技术细节,包括XPIA分类器的弱点、Markdown语法的利用方式、图像自动获取机制的安全风险,以及内容安全策略的不足。基于这些分析,研究人员提出了prompt分区、增强的输入/输出过滤、基于来源的访问控制和严格的内容安全策略等缓解措施。

📊 实验亮点

研究成功复现了EchoLeak零点击Prompt注入漏洞,证明了Prompt注入攻击在生产环境中的实际威胁。通过组合多种绕过技术,攻击者无需用户交互即可实现数据泄露和权限提升。研究揭示了现有防御机制的不足,并提出了有效的缓解措施,为AI安全领域提供了重要的实践指导。

🎯 应用场景

该研究成果可应用于企业级AI助手安全防护,提升LLM在金融、医疗等敏感行业的应用安全性。通过借鉴EchoLeak的分析和缓解策略,开发者可以构建更安全的AI系统,降低数据泄露和权限滥用的风险。研究结果也为AI安全领域的未来研究提供了参考。

📄 摘要(原文)

Large language model (LLM) assistants are increasingly integrated into enterprise workflows, raising new security concerns as they bridge internal and external data sources. This paper presents an in-depth case study of EchoLeak (CVE-2025-32711), a zero-click prompt injection vulnerability in Microsoft 365 Copilot that enabled remote, unauthenticated data exfiltration via a single crafted email. By chaining multiple bypasses-evading Microsofts XPIA (Cross Prompt Injection Attempt) classifier, circumventing link redaction with reference-style Markdown, exploiting auto-fetched images, and abusing a Microsoft Teams proxy allowed by the content security policy-EchoLeak achieved full privilege escalation across LLM trust boundaries without user interaction. We analyze why existing defenses failed, and outline a set of engineering mitigations including prompt partitioning, enhanced input/output filtering, provenance-based access control, and strict content security policies. Beyond the specific exploit, we derive generalizable lessons for building secure AI copilots, emphasizing the principle of least privilege, defense-in-depth architectures, and continuous adversarial testing. Our findings establish prompt injection as a practical, high-severity vulnerability class in production AI systems and provide a blueprint for defending against future AI-native threats.