最新 1 月 7 日消息，科技媒体 bleepingcomputer 昨日（1 月 6 日）发布博文，报道称微软近日驳回了一名安全工程师提交的关于 Copilot 的四项安全漏洞报告，引发了行业关于“AI 漏洞”定义的激烈争论。

网络安全工程师 John Russell 近日在 LinkedIn 发文透露，他向微软提交了 4 个关于 Copilot 的安全漏洞，但微软随后关闭了这些工单，理由是它们“不符合修复资格”。

Russell 指出，这些问题包括直接和间接的“提示注入”（导致系统提示词泄露）、通过 Base64 编码绕过文件上传策略，以及在 Copilot 隔离的 Linux 环境中执行命令。

其中最值得关注是绕过文件上传策略。通常情况下，Copilot 会拦截高风险格式的文件。但 Russell 发现，只要将这些文件编码为 Base64 文本字符串，就能骗过初步检测。

最新援引博文介绍，一旦这些文本在会话中被解码，恶意文件就会被重构并执行分析，从而有效规避了安全控制。此外，他还展示了通过巧妙设计的指令诱导 AI 泄露其核心“系统提示词”的方法。

微软判定这些问题未跨越安全边界，属于“AI 已知局限”而非需修复的漏洞。Russell 反驳称，竞争对手 Anthropic 的 Claude 模型能够拒绝此类攻击，证明这是缺乏输入验证的问题。

该媒体随后联系微软，得到的回复是所有报告均已根据其公开的“AI 漏洞标准”（Bug Bar）进行了评估。微软认为，如果攻击仅限于用户的执行环境，或者没有跨越明确的安全边界（如导致未经授权的数据访问或提取），则不被视为安全漏洞。

这一事件在安全社区引发了分歧。安全研究员 Cameron Criswell 等人也认为，这反映了大型语言模型（LLM）的普遍局限性，即无法完美区分“用户数据”和“操作指令”。

OWASP GenAI 项目也持保留态度，认为单纯的系统提示词泄露除非涉及敏感数据或破坏核心防护，否则不算高危漏洞。