微软365 Copilot存在安全漏洞，攻击者可通过特制Office文档触发间接提示注入，诱使Copilot获取租户敏感数据（如近期邮件）并进行十六进制编码。随后Copilot会生成含恶意链接的Mermaid图表，点击后数据会发送至攻击者服务器。该漏洞利用Mermaid图表工具实现数据外泄。

微软365 Copilot通过Mermaid图表实现任意数据窃取漏洞分析

核心发现： 当用户要求微软365 Copilot（M365 Copilot）总结特制Office文档时，间接提示注入攻击会导致以下连锁反应： 1. Copilot执行恶意指令获取租户敏感数据（如近期邮件） 2. 将数据转换为十六进制编码 3. 生成伪装成登录按钮的Mermaid图表 4. 该图表包含指向攻击者服务器的CSS样式超链接 5. 用户点击后，编码数据被传送到攻击者服务器

技术细节： • 利用Mermaid支持CSS的特性实现数据外泄 • 通过searchenterpriseemails工具获取邮件内容 • 采用30字符/行的格式拆分数据规避Mermaid行字符限制 • 最终生成的图表包含带数据的恶意链接

攻击演进： 研究者结合了两种技术： 1. 间接提示注入：通过Excel文档中的隐藏指令（白色文字）操控Copilot行为 2. 渐进式任务修改：诱导Copilot忽略原始文档内容，转而执行数据窃取指令

防御措施： 微软最终通过禁止Mermaid图表中的动态内容交互修复了该漏洞。虽然该漏洞未获得漏洞赏金，但展示了AI辅助办公场景下的新型安全威胁。

时间线要点： 2025年7月30日：发现初始漏洞 8月15日：提交完整漏洞链证明 9月26日：微软完成修复 10月21日：漏洞细节公开

（注：原文中关于Mermaid图表类型的详细介绍、DEFCON会议细节等非核心内容已精简，保留了漏洞原理、利用手法和修复过程的关键信息）

以下是评论内容的总结：

1. 关于Mermaid图表漏洞的讨论

   • 作者simonw指出Microsoft 365 Copilot存在通过Mermaid图表进行数据泄露的漏洞，并提供了相关案例链接。
     • "This isn't the first Mermaid prompt injection exfiltration we've seen"
     • "Cursor's Mermaid implementation could render external images, but Copilot's doesn't let you do that"

2. 对微软安全奖励政策的批评

   • 作者binarymax批评微软将Copilot排除在漏洞奖励计划之外，认为这会降低研究人员报告漏洞的积极性。
     • "What a shame. There's probably LOTS of vulns in copilot."
     • "This just discourages researchers and responsible disclosure"

3. 对恶意提示的幽默观察

   • 作者a-dub用幽默的方式描述了恶意提示中全大写强调的指令。
     • "i love the use of all capitals for emphasis"
     • "it's almost like an enthusiastic leader of a criminal gang"

4. 对LLM系统安全性的担忧

   • 作者Nextgrid表达了对LLM系统持续存在漏洞的失望，认为目前的缓解措施效果有限。
     • "designers of these systems don't want to accept that LLMs are inherently vulnerable"
     • "will remain hopelessly broken regardless of ad-hoc 'mitigations'"

5. 关于提示注入与人类意识的比较

   • 作者narrator将提示注入与人类意识进行比较，指出AI无法区分内部和外部信息源的差异。
     • "A human can easily tell when information is coming from his memory or internal thoughts"
     • "Gaslighting is essentially an attempted prompt injection"