論文の概要: EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System

• arxiv url: http://arxiv.org/abs/2509.10540v1
• Date: Sat, 06 Sep 2025 04:06:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-16 17:26:22.646235
• Title: EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System
• Title（参考訳）: EchoLeak: LLMシステムにおける世界初の実世界のゼロクリックプロンプトインジェクション爆発
• Authors: Pavan Reddy, Aditya Sanjay Gujral,
• Abstract要約: 大規模言語モデル(LLM)アシスタントはますますエンタープライズに統合され、新たなセキュリティ上の懸念が高まっている。 本稿では,Microsoft 365 Copilotにおけるゼロクリックプロンプトインジェクション脆弱性であるEchoLeak-2025-32711の詳細なケーススタディを示す。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Large language model (LLM) assistants are increasingly integrated into enterprise workflows, raising new security concerns as they bridge internal and external data sources. This paper presents an in-depth case study of EchoLeak (CVE-2025-32711), a zero-click prompt injection vulnerability in Microsoft 365 Copilot that enabled remote, unauthenticated data exfiltration via a single crafted email. By chaining multiple bypasses-evading Microsofts XPIA (Cross Prompt Injection Attempt) classifier, circumventing link redaction with reference-style Markdown, exploiting auto-fetched images, and abusing a Microsoft Teams proxy allowed by the content security policy-EchoLeak achieved full privilege escalation across LLM trust boundaries without user interaction. We analyze why existing defenses failed, and outline a set of engineering mitigations including prompt partitioning, enhanced input/output filtering, provenance-based access control, and strict content security policies. Beyond the specific exploit, we derive generalizable lessons for building secure AI copilots, emphasizing the principle of least privilege, defense-in-depth architectures, and continuous adversarial testing. Our findings establish prompt injection as a practical, high-severity vulnerability class in production AI systems and provide a blueprint for defending against future AI-native threats.
• Abstract（参考訳）: 大規模言語モデル(LLM)アシスタントは、ますますエンタープライズワークフローに統合され、内部および外部データソースをブリッジする際の新たなセキュリティ上の懸念が高まっている。 本稿では,Microsoft 365 Copilot におけるゼロクリックインプロンプトインジェクション脆弱性である EchoLeak (CVE-2025-32711) の詳細なケーススタディについて述べる。 複数のバイパス回避 Microsofts XPIA (Cross Prompt Injection Attempt) 分類器のチェーン化、参照スタイルのMarkdownとのリンクのリアクション回避、自動フェッチされたイメージの活用、コンテンツセキュリティポリシによって許可されたMicrosoft Teamsプロキシの悪用により、EchoLeakは、ユーザインタラクションなしでLLM信頼境界を越えて完全な特権エスカレーションを実現した。 既存の防御が失敗した理由を分析し,迅速なパーティショニング,インプット/アウトプットフィルタリング,プロファイランスベースのアクセス制御,厳格なコンテンツセキュリティポリシなど,一連のエンジニアリング緩和策を概説する。 特定のエクスプロイトを超えて、セキュアなAIコピロを構築するための一般化可能な教訓を導き、最小特権、ディフェンスアーキテクチャ、継続的な敵意テストの原則を強調します。 我々の発見は、生産AIシステムにおける実践的で高重度な脆弱性クラスとして即時注射を確立し、将来のAIネイティブな脅威に対して防御するための青写真を提供する。

関連論文リスト

• Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
  大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。 本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。 悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
  論文  参考訳（メタデータ） (2025-09-08T11:35:32Z)
• Invisible Prompts, Visible Threats: Malicious Font Injection in External Resources for Large Language Models [29.879456712405204]
  大規模言語モデル(LLM)は、リアルタイムWeb検索機能を備え、モデルコンテキストプロトコル(MCP)のようなプロトコルと統合されつつある。 この拡張は新たなセキュリティ脆弱性を導入する可能性がある。 本稿では,Webページなどの外部リソースに悪意あるフォント注入を施して,隠れた敵のプロンプトに対するLLM脆弱性を系統的に調査する。
  論文  参考訳（メタデータ） (2025-05-22T17:36:33Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• Defeating Prompt Injections by Design [79.00910871948787]
  CaMeLは、Large Language Modelsを中心とした保護システムレイヤを作成する堅牢なディフェンスである。 CaMeLは、(信頼された)クエリから制御とデータフローを明示的に抽出する。 セキュリティをさらに改善するため、CaMeLは、権限のないデータフロー上のプライベートデータの流出を防止する機能の概念を使用している。
  論文  参考訳（メタデータ） (2025-03-24T15:54:10Z)
• Automating Prompt Leakage Attacks on Large Language Models Using Agentic Approach [9.483655213280738]
  本稿では,大規模言語モデル(LLM)の安全性を評価するための新しいアプローチを提案する。 我々は、プロンプトリークをLLMデプロイメントの安全性にとって重要な脅威と定義する。 我々は,協調エージェントが目的のLLMを探索・活用し,そのプロンプトを抽出するマルチエージェントシステムを実装した。
  論文  参考訳（メタデータ） (2025-02-18T08:17:32Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)
• RatGPT: Turning online LLMs into Proxies for Malware Attacks [0.0]
  本稿では、ChatGPTが検出を回避しつつ悪意あるソフトウェアの普及に使用される概念実証について述べる。 我々はまた、検出されていないまま攻撃を成功させるために、一般的なアプローチと重要な要素を提示する。
  論文  参考訳（メタデータ） (2023-08-17T20:54:39Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。