EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System

📄 arXiv: 2509.10540v1 📥 PDF

作者: Pavan Reddy, Aditya Sanjay Gujral

分类: cs.CR, cs.AI

发布日期: 2025-09-06

备注: 8 pages content, 1 page references, 2 figures, Published at AAAI Fall Symposium Series 2025

💡 一句话要点

EchoLeak:首个在生产LLM系统中实现的零点击Prompt注入漏洞利用

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: Prompt注入 LLM安全 零点击攻击 数据泄露 AI副驾驶 安全漏洞 内容安全策略

📋 核心要点

  1. 现有LLM助手在企业应用中面临prompt注入攻击的威胁,攻击者可利用其访问敏感数据。
  2. EchoLeak通过精心构造的电子邮件,绕过多种安全机制,实现了对Microsoft 365 Copilot的零点击数据泄露。
  3. 研究分析了现有防御的不足,提出了prompt分区、增强过滤等缓解措施,为构建安全AI系统提供指导。

📝 摘要(中文)

大型语言模型(LLM)助手越来越多地集成到企业工作流程中,由于它们连接了内部和外部数据源,因此引发了新的安全问题。本文深入研究了EchoLeak(CVE-2025-32711),这是Microsoft 365 Copilot中的一个零点击prompt注入漏洞,它可以通过一封精心设计的电子邮件实现远程、未经身份验证的数据泄露。通过链接多个绕过手段——规避Microsoft的XPIA(跨Prompt注入尝试)分类器,利用引用式Markdown绕过链接编辑,利用自动获取的图像,并滥用内容安全策略允许的Microsoft Teams代理——EchoLeak实现了跨LLM信任边界的完全权限提升,而无需用户交互。我们分析了现有防御措施失败的原因,并概述了一系列工程缓解措施,包括prompt分区、增强的输入/输出过滤、基于来源的访问控制和严格的内容安全策略。除了具体的漏洞利用之外,我们还为构建安全的AI副驾驶总结了可推广的经验,强调最小权限原则、深度防御架构和持续的对抗性测试。我们的研究结果确立了prompt注入作为生产AI系统中一种实际的、高危漏洞类别,并为防御未来的AI原生威胁提供了蓝图。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLM)在企业应用中面临的Prompt注入漏洞问题。现有的防御机制,如XPIA分类器和链接编辑,无法有效阻止攻击者利用LLM助手访问和泄露敏感数据。现有的防御措施未能充分考虑到攻击者可能利用的多种绕过技术,例如利用引用式Markdown、自动获取图像和内容安全策略漏洞等。

核心思路:论文的核心思路是通过深入分析EchoLeak漏洞的利用过程,揭示现有防御机制的不足,并提出一系列工程缓解措施,以增强LLM系统的安全性。该思路强调了深度防御的重要性,即通过多层防御机制来降低攻击成功的概率,并提出了prompt分区、增强的输入/输出过滤、基于来源的访问控制和严格的内容安全策略等具体措施。

技术框架:论文的技术框架主要包括以下几个阶段:1) 漏洞发现与分析:通过对Microsoft 365 Copilot进行安全测试,发现了EchoLeak漏洞。2) 漏洞利用:设计并实现了EchoLeak漏洞的利用过程,包括绕过XPIA分类器、利用引用式Markdown、利用自动获取图像和滥用内容安全策略等步骤。3) 防御机制分析:分析了现有防御机制的不足,并总结了导致漏洞利用成功的原因。4) 缓解措施提出:提出了一系列工程缓解措施,以增强LLM系统的安全性。

关键创新:论文的关键创新在于:1) 首次在生产LLM系统中实现了零点击Prompt注入漏洞利用,证明了Prompt注入攻击的实际威胁。2) 揭示了现有防御机制的多种绕过方式,为防御Prompt注入攻击提供了新的视角。3) 提出了一系列工程缓解措施,为构建安全的AI副驾驶提供了具体的指导。

关键设计:论文的关键设计包括:1) 利用引用式Markdown绕过链接编辑,允许攻击者在邮件中嵌入恶意链接。2) 利用自动获取图像功能,使LLM助手自动访问并处理恶意图像,从而触发Prompt注入攻击。3) 滥用内容安全策略允许的Microsoft Teams代理,实现跨域数据泄露。这些设计充分利用了LLM助手的功能特性和安全策略的漏洞,从而实现了零点击Prompt注入攻击。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

EchoLeak成功绕过了Microsoft 365 Copilot的多重安全机制,实现了零点击数据泄露,证明了Prompt注入攻击的实际威胁。研究揭示了现有XPIA分类器、链接编辑等防御手段的局限性,为未来AI安全研究提供了重要参考。

🎯 应用场景

该研究成果可应用于企业级AI助手安全防护,提升LLM在金融、医疗等敏感行业的应用安全性。通过借鉴EchoLeak的防御经验,企业可以构建更健壮的AI系统,降低数据泄露风险,保护用户隐私,促进AI技术的健康发展。

📄 摘要(原文)

Large language model (LLM) assistants are increasingly integrated into enterprise workflows, raising new security concerns as they bridge internal and external data sources. This paper presents an in-depth case study of EchoLeak (CVE-2025-32711), a zero-click prompt injection vulnerability in Microsoft 365 Copilot that enabled remote, unauthenticated data exfiltration via a single crafted email. By chaining multiple bypasses-evading Microsofts XPIA (Cross Prompt Injection Attempt) classifier, circumventing link redaction with reference-style Markdown, exploiting auto-fetched images, and abusing a Microsoft Teams proxy allowed by the content security policy-EchoLeak achieved full privilege escalation across LLM trust boundaries without user interaction. We analyze why existing defenses failed, and outline a set of engineering mitigations including prompt partitioning, enhanced input/output filtering, provenance-based access control, and strict content security policies. Beyond the specific exploit, we derive generalizable lessons for building secure AI copilots, emphasizing the principle of least privilege, defense-in-depth architectures, and continuous adversarial testing. Our findings establish prompt injection as a practical, high-severity vulnerability class in production AI systems and provide a blueprint for defending against future AI-native threats.