微软近日就安全工程师披露的 microsoft copilot 中多起提示注入(prompt injection)相关问题作出回应,明确指出此类问题并非传统意义上的可修复安全漏洞,而是当前生成式人工智能技术固有的能力边界与设计局限。
安全研究员 John Russell 此前在 LinkedIn 平台公开分享了其在 Copilot 中识别出的 4 类潜在风险,具体包括:
- 直接与间接形式的提示注入,导致底层系统提示(system prompt)意外暴露
- 借助 Base64 编码将受限文件伪装为纯文本,绕过文件类型上传校验机制
- 在 Copilot 所运行的隔离 Linux 环境中实现任意命令执行等越权操作
其中引发最多关注的是对文件上传限制的规避手段:攻击者可将本不允许上传的二进制文件(如可执行脚本)编码为 Base64 字符串后提交,再通过客户端或服务端解码还原,从而绕过 Copilot 内置的内容过滤与类型检查逻辑,突破原有防护策略。
微软方面表示,经内部多轮安全评审确认,上述现象未达到“漏洞可服务性(Serviceability)”的判定门槛。换言之,这些行为并未突破既定的安全红线——例如未造成未授权系统访问、未触发敏感信息外泄、亦未破坏身份认证或权限控制机制,因此不被视为需紧急响应与修补的安全缺陷。
部分安全从业者指出,这类提示注入案例确实揭示了 Copilot 在用户输入解析、指令上下文理解及信任边界划分等方面的薄弱环节,属于值得关注的实际风险;但也有观点认为,此类问题本质上源于大语言模型(LLM)固有的非确定性推理特性与开放交互范式,是现阶段 AI 架构难以彻底消除的内在约束,而非典型的软件缺陷。
此次讨论的焦点,并非技术实现细节本身,而在于如何界定 AI 系统中的“安全漏洞”。对微软而言,“漏洞”必须满足可量化、可复现、且能直接导致越权访问或数据泄露等明确危害后果;而在许多白帽研究者看来,提示注入已具备实际利用路径与业务影响潜力,理应纳入风险治理范畴并推动缓解措施落地。
随着生成式 AI 工具加速渗透至企业办公、代码开发、数据分析等核心场景,类似关于“什么是漏洞”的认知分歧或将日益频繁。构建行业共识性的 AI 安全评估框架、明确定义风险等级与响应标准,已成为保障 AI 应用稳健落地的关键前提。
源码地址:点击下载
