IT之家 1 月 7 日消息,科技媒体 bleepingcomputer 昨日(1 月 6 日)发布博文,报道称微软近日驳回了一名安全工程师提交的关于 Copilot 的四项安全漏洞报告,引发了行业关于“AI 漏洞”定义的激烈争论。
网络安全工程师 John Russell 近日在 LinkedIn 发文透露,他向微软提交了 4 个关于 Copilot 的安全漏洞,但微软随后关闭了这些工单,理由是它们“不符合修复资格”。
Russell 指出,这些问题包括直接和间接的“提示注入”(导致系统提示词泄露)、通过 Base64 编码绕过文件上传策略,以及在 Copilot 隔离的 Linux 环境中执行命令。
其中最值得关注是绕过文件上传策略。通常情况下,Copilot 会拦截高风险格式的文件。但 Russell 发现,只要将这些文件编码为 Base64 文本字符串,就能骗过初步检测。
IT之家援引博文介绍,一旦这些文本在会话中被解码,恶意文件就会被重构并执行分析,从而有效规避了安全控制。此外,他还展示了通过巧妙设计的指令诱导 AI 泄露其核心“系统提示词”的方法。
微软判定这些问题未跨越安全边界,属于“AI 已知局限”而非需修复的漏洞。Russell 反驳称,竞争对手 Anthropic 的 Claude 模型能够拒绝此类攻击,证明这是缺乏输入验证的问题。
该媒体随后联系微软,得到的回复是所有报告均已根据其公开的“AI 漏洞标准”(Bug Bar)进行了评估。微软认为,如果攻击仅限于用户的执行环境,或者没有跨越明确的安全边界(如导致未经授权的数据访问或提取),则不被视为安全漏洞。
这一事件在安全社区引发了分歧。安全研究员 Cameron Criswell 等人也认为,这反映了大型语言模型(LLM)的普遍局限性,即无法完美区分“用户数据”和“操作指令”。
OWASP GenAI 项目也持保留态度,认为单纯的系统提示词泄露除非涉及敏感数据或破坏核心防护,否则不算高危漏洞。
