提示注入算不算漏洞？解析微软与专家的AI漏洞定义之争

1月7日，IT之家援引科技媒体bleepingcomputer前一天（1月6日）发布的博文报道，微软近日驳回了一名安全工程师提交的关于Copilot的四项安全漏洞报告，引发行业对“AI漏洞”定义的激烈争论。

网络安全工程师John Russell近日在LinkedIn发文透露，他向微软提交了4个涉及Copilot的安全漏洞报告，但微软随后关闭了这些工单，理由是它们“不符合修复资格”。

Russell指出，这些问题包括直接和间接的“提示注入”（导致系统提示词泄露）、通过Base64编码绕开文件上传策略，以及在Copilot隔离的Linux环境中执行命令。

其中最值得关注的是绕过文件上传策略的漏洞。通常情况下，Copilot会拦截高风险格式的文件。但Russell发现，只要将这些文件编码为Base64文本字符串，就能骗过初步检测。

IT之家援引博文介绍，一旦这些文本在会话中被解码，恶意文件就会被重构并执行分析，从而有效规避了安全控制。此外，他还展示了通过巧妙设计的指令诱导AI泄露其核心“系统提示词”的方法。

微软判定这些问题未跨越安全边界，属于“AI已知局限”而非需修复的漏洞。Russell反驳称，竞争对手Anthropic的Claude模型能够拒绝此类攻击，证明这是缺乏输入验证的问题。

该媒体随后联系微软，得到的回复是所有报告均已根据其公开的“AI漏洞标准”（Bug Bar）进行了评估。微软认为，如果攻击仅限于用户的执行环境，或者没有跨越明确的安全边界（如导致未经授权的数据访问或提取），则不被视为安全漏洞。

这一事件在安全社区引发了分歧。安全研究员Cameron Criswell等人也认为，这反映了大型语言模型（LLM）的普遍局限性，即无法完美区分“用户数据”和“操作指令”。

OWASP GenAI项目也持保留态度，认为单纯的系统提示词泄露除非涉及敏感数据或破坏核心防护，否则不算高危漏洞。