1月7日,IT之家援引科技媒体bleepingcomputer前一天(1月6日)发布的博文报道,微软近日驳回了一名安全工程师提交的关于Copilot的四项安全漏洞报告,引发行业对“AI漏洞”定义的激烈争论。
网络安全工程师John Russell近日在LinkedIn发文透露,他向微软提交了4个涉及Copilot的安全漏洞报告,但微软随后关闭了这些工单,理由是它们“不符合修复资格”。
Russell指出,这些问题包括直接和间接的“提示注入”(导致系统提示词泄露)、通过Base64编码绕开文件上传策略,以及在Copilot隔离的Linux环境中执行命令。
其中最值得关注的是绕过文件上传策略的漏洞。通常情况下,Copilot会拦截高风险格式的文件。但Russell发现,只要将这些文件编码为Base64文本字符串,就能骗过初步检测。
IT之家援引博文介绍,一旦这些文本在会话中被解码,恶意文件就会被重构并执行分析,从而有效规避了安全控制。此外,他还展示了通过巧妙设计的指令诱导AI泄露其核心“系统提示词”的方法。
微软判定这些问题未跨越安全边界,属于“AI已知局限”而非需修复的漏洞。Russell反驳称,竞争对手Anthropic的Claude模型能够拒绝此类攻击,证明这是缺乏输入验证的问题。
该媒体随后联系微软,得到的回复是所有报告均已根据其公开的“AI漏洞标准”(Bug Bar)进行了评估。微软认为,如果攻击仅限于用户的执行环境,或者没有跨越明确的安全边界(如导致未经授权的数据访问或提取),则不被视为安全漏洞。
这一事件在安全社区引发了分歧。安全研究员Cameron Criswell等人也认为,这反映了大型语言模型(LLM)的普遍局限性,即无法完美区分“用户数据”和“操作指令”。
OWASP GenAI项目也持保留态度,认为单纯的系统提示词泄露除非涉及敏感数据或破坏核心防护,否则不算高危漏洞。
