微软与安全专家就AI漏洞定义引发争论，注入是否算漏洞？

关于提示注入是否算作漏洞，微软与安全专家引发了AI漏洞定义的争论，目前对于AI漏洞的定义尚未达成完全的共识，各方对于漏洞的界定标准和范围存在分歧，这场争论引发了行业内对于AI安全性的关注和思考，对于保护人工智能系统的安全性具有重要意义。

1月7日消息，科技媒体bleepingcomputer昨日（1月6日）发布博文，报道称微软近日驳回了一名安全工程师提交的关于Copilot的四项安全漏洞报告，引发了行业关于“AI漏洞”定义的激烈争论。
网络安全工程师JohnRussell近日在LinkedIn发文透露，他向微软提交了4个关于Copilot的安全漏洞，但微软随后关闭了这些工单，理由是它们“不符合修复资格”。Russell指出，这些问题包括直接和间接的“提示注入”（导致系统提示词泄露）、通过Base64编码绕过文件上传策略，以及在Copilot隔离的Linux环境中执行命令。其中最值得关注是绕过文件上传策略。通常情况下，Copilot会拦截高风险格式的文件。但Russell发现，只要将这些文件编码为Base64文本字符串，就能骗过初步检测。援引博文介绍，一旦这些文本在会话中被解码，恶意文件就会被重构并执行分析，从而有效规避了安全控制。此外，他还展示了通过巧妙设计的指令诱导AI泄露其核心“系统提示词”的方法。微软判定这些问题未跨越安全边界，属于“AI已知局限”而非需修复的漏洞。Russell反驳称，竞争对手Anthropic的Claude模型能够拒绝此类攻击，证明这是缺乏输入验证的问题。该媒体随后联系微软，得到的回复是所有报告均已根据其公开的“AI漏洞标准”（BugBar）进行了评估。微软认为，如果攻击仅限于用户的执行环境，或者没有跨越明确的安全边界（如导致未经授权的数据访问或提取），则不被视为安全漏洞。这一事件在安全社区引发了分歧。安全研究员CameronCriswell等人也认为，这反映了大型语言模型（LLM）的普遍局限性，即无法完美区分“用户数据”和“操作指令”。OWASPGenAI项目也持保留态度，认为单纯的系统提示词泄露除非涉及敏感数据或破坏核心防护，否则不算高危漏洞。