惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

H
Heimdal Security Blog
A
Arctic Wolf
K
Kaspersky official blog
V
Vulnerabilities – Threatpost
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Simon Willison's Weblog
Simon Willison's Weblog
L
LINUX DO - 热门话题
MongoDB | Blog
MongoDB | Blog
T
Threat Research - Cisco Blogs
D
Docker
爱范儿
爱范儿
T
Tenable Blog
C
Check Point Blog
B
Blog
C
Cisco Blogs
Vercel News
Vercel News
The Cloudflare Blog
T
Threatpost
NISL@THU
NISL@THU
T
Tor Project blog
V2EX - 技术
V2EX - 技术
P
Palo Alto Networks Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
T
Tailwind CSS Blog
G
GRAHAM CLULEY
P
Privacy & Cybersecurity Law Blog
SecWiki News
SecWiki News
博客园 - 司徒正美
S
Security @ Cisco Blogs
GbyAI
GbyAI
S
Secure Thoughts
Microsoft Security Blog
Microsoft Security Blog
The Register - Security
The Register - Security
Recorded Future
Recorded Future
Cloudbric
Cloudbric
Webroot Blog
Webroot Blog
N
News and Events Feed by Topic
Y
Y Combinator Blog
博客园_首页
T
Troy Hunt's Blog
The Hacker News
The Hacker News
雷峰网
雷峰网
Google DeepMind News
Google DeepMind News
U
Unit 42
AWS News Blog
AWS News Blog
PCI Perspectives
PCI Perspectives
V
Visual Studio Blog
博客园 - 聂微东
有赞技术团队
有赞技术团队
酷 壳 – CoolShell
酷 壳 – CoolShell

Ming Blog

OpenClaw安全实战系列(四):幽灵连通性—揭秘CVE-2026-32038沙箱网络隔离绕过与靶标实战 OpenClaw安全实战系列(一):Agent Skill 供应链投毒路径重现与靶标建设 OpenClaw近期生态安全事件解读:从RCE漏洞到Skill供应链投毒分析 OpenClaw安全实战系列(二):白名单也防不住?复盘 CVE-2026-28363 授权绕过全过程 OpenClaw安全实战系列(三):利用网关劫持实现 OpenClaw 控制端 1-Click RCE (CVE-2026-25253) 从现网到靶场:2025云上AI安全事件深度复盘 提示词注入:近期大模型安全漏洞案例剖析 2025 Verizon DBIR解读 | 供应链攻击30%+勒索软件44%:边缘设备漏洞与AI滥用催生新风险 开源大模型推理软件的攻击面分析:云上LLM数据泄露风险研究系列(四) LLM数据泄露风险研究系列(三):基于LLM应用的攻击面分析 从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链 网盘数据泄露探索:从访问控制突破到敏感信息发现 从数据库沦陷到供应链投毒:大模型安全危机背后的“隐形战场 2024 Verizon DBIR解读 | 数据泄露转向连接云的第三方软件供应链 洞见RSA2024 | Kubernetes攻击与防御技术综述 RSAC 2024创新沙盒|Aembit:面向IAM的云工作负载访问控制平台 那些年陪自己走过的歌声 客户端文件直传对象存储的便捷与安全性探究 无题 日常记录 Service Mesh未来发展趋势浅析 云攻防课程系列:云计算基础与整体安全 RSA创新沙盒盘点Dazz — 面向SaaS化的云安全漏洞缓解平台 云原生API安全:背景、态势与风险防护 OpenTelemetry Operator for Kubernetes实践 利用Serverless函数造成的DoS攻击分析 Goodbye 2022, what up 2023 如何正确地使用CI/CD工具 红岩子游 云原生服务风险测绘分析【五】:Etcd Neosec — 面向API安全的SaaS化防护方案 云原生服务风险测绘分析【四】:Prometheus 巨浪 云原生服务风险测绘分析【三】:Kong和Apache APISIX 云原生服务风险测绘分析【二】:Harbor 平衡 云原生服务风险测绘分析【一】:Docker、Kubernetes 读书笔记 猫咪 one little candle 【云原生应用安全】云原生应用安全防护思考(二) 【云原生应用安全】云原生应用安全防护思考(一) 【云原生应用安全】云原生应用安全风险思考 RSA 创新沙盒盘点| WABBI — 面向应用全生命周期的安全防护方案 新年寄语 陀螺 主流开源Serverless平台OpenFaaS安全性研究 电影《Tschick》观后感 电影《Jojo Rabbit》观后感 Serverless安全研究 — Serverless安全防护 Serverless安全研究 — Serverless安全风险 夜晚随笔 云原生攻防研究 — 针对AWS Lambda的运行时攻击 Serverless安全研究 — Serverless概述 Music Corner 怀念2017的新西兰之旅 好书推荐 — Kubernetes安全分析 【云原生攻防研究】Istio访问授权再曝高危漏洞 RSA 创新沙盒盘点| AppOmni—面向SaaS数据泄漏的持续性监控和告警防护 主流云原生微服务API网关成熟度与安全功能对比分析 浦明的博客 浦明的博客 浦明的博客
大模型生态的数据泄露危机:从向量数据库到AI助手的“失控链”
Ming Blog · 2025-08-22 · via Ming Blog

一.概述

据绿盟科技星云实验室统计,在2025年3月至6月期间,全球范围集中爆发了多起与大模型相关的重大数据泄露事件,导致大量敏感数据外泄,包括模型训练数据、企业源码、Onedrive中的个人隐私数据等。这些事件不仅揭示了企业在AI应用中的安全短板,更凸显了"AI原生风险"的威胁。本文将抽取4个典型事件,并通过时间线梳理、泄露数据分析、攻击路径还原及MITRE ATT&CK框架对标,系统剖析AI技术落地的安全盲区。

二.大模型数据泄露事件分析

事件一.国内某大学重点实验室向量数据库存在数据泄露风险

事件时间:2025年3月

泄露规模:数百条AI应用知识库/训练数据

事件回顾

2025年3月,绿盟科技创新研究院发现一个部署在阿里云上的Qdrant向量数据库服务,且未存在任何有效访问控制和认证机制。任意互联网用户,包含恶意攻击者,可以通过Qdrant的Restful API对其中的向量数据、源数据进行任意访问。暴露向量数据库中包含了数百条用于构建、训练AI应用的向量数据。

img
图1. 疑似国内某大学重点实验室向量数据库数据泄露截图

研究员通过技术手段定位到该镜像仓库的归属组织机构为某大学重点实验室后,第一时间将此情报通报给相关单位进行治理。

事件分析

Qdrant是一款向量相似性搜索引擎和向量数据库。它提供了一套可直接投入生产环境的服务,配备便捷的API,用于存储、搜索和管理带有附加载荷(payload)的点—即包含额外信息的向量。Qdrant能够有效支持各种基于神经网络或语义的匹配、分面搜索(faceted search)以及其他应用场景。

由向量数据库引起的数据泄露主要有3种方式:通过RestfulAPI泄露、通过管理工具泄露以及通过API调试文档泄露。

  1. 通过RestfulAPI泄露:部分向量数据库部署完成后会对外暴露一些Restful API,这些API打通了LLM应用训练、推理的全流程。然而,笔者调研的多款主流向量数据库的默认部署方式下(容器部署方式)的原生RestfulAPI均不包含任何访问控制机制。“暴露的API”加“未授权访问”给向量数据库带来了严重的数据安全威胁,攻击者可以通过极低的成本(如一个简单的Get或Post请求)来获取其中的数据,造成数据泄露。

  2. 通过管理工具泄露:向量数据库的Web管理工具若存在未授权访问也可能导致数据泄露事件的发生。例如,向量数据库Milvus的Web管理工具Attu、MilvusWebUI都有可能存在默认情况下的未授权访问。攻击者可能通过这类Web管理工具窃取向量数据库中的敏感数据,进而造成数据泄露。

  3. 通过API调试文档:一些向量数据库为了方便开发者进行调试,在特定的endpoint下自动生成了在线API调试文档,且同样不具备任何访问控制机制。攻击者能够通过对在线API文档进行调试,对后端的向量数据库进行查询等操作,进而造成数据泄露。

导致此次Qdrant数据泄露风险事件的主要原因为Qdrant开放的RestfulAPI存在未授权访问漏洞。开发者在部署完Qdrant服务后,未配置有效的访问控制机制,且对服务的访问也没做合理的限制。Qdrant向量数据库服务的“互联网暴露”加“未授权访问”最终导致了此次数据泄露风险事件的发生。

VERIZON事件分类:Miscellaneous Errors(杂项错误)

所用MITRE ATT&CK技术

技术 子技术 利用方式
T1593 搜索开放网站/域 .002 搜索引擎 攻击者可能利用网络空间搜索引擎进行情报收集。
T1133 外部远程服务 N/A 攻击者识别暴露服务中的Qdrant向量数据库服务。
T1587 开发功能 .004 利用工具 攻击者开发对暴露向量数据库服务进行利用的工具。
T1530 云存储中的数据 N/A 攻击者访问向量数据库服务中的数据。
T1567 通过Web服务外泄 N/A 攻击者可能利用Qdrant开放的Restful API进行数据窃取。

事件二. GitHub MCP漏洞影响深远,或引发供应链安全危机

事件时间:2025年5月

泄露规模:影响多个GitHub公开仓库及私有仓库,涉及企业私有代码、敏感数据包括物理地址、薪资详情等高度敏感信息

事件回顾:GitHub的模型上下文协议(Model Context Protocol,MCP)服务器被曝存在严重安全漏洞,攻击者可通过恶意提示注入(prompt injection)手段获取私有代码库数据。该漏洞影响所有使用GitHub MCP集成的代理系统,如攻击者可通过在公共代码库/私有代码库中创建包含隐藏提示注入载荷的恶意issue,当用户使用AI代理审查代码库issue时,这些恶意提示会劫持AI代理(如Claude Desktop、Cursor等),迫使其执行恶意操作,如:

  1. 利用 MCP 已授权的 OAuth 权限,越权访问组织内(Organization)所有私有仓库;

  2. 窃取私有代码、HR文档、薪资数据等敏感内容;

  3. 自动创建公开 Pull Request 并粘贴窃取数据,使攻击者及公众可直接查看。

实测中,Claude 4 Opus 模型在受控环境下泄露了用户搬迁计划、薪资信息及私有项目名称,证明漏洞具备实际危害性。

事件分析:此次事件根因为Github MCP架构设计缺陷导致,可总结为以下三方面内容:

  1. 过度特权访问:MCP 持有宽泛 OAuth 权限(默认可跨仓库读写);

  2. 不可信输入通道:接受公开 Issue/PR 评论等未过滤的用户输入;

  3. 数据外泄出口:支持创建公开 PR 等对外输出机制。

三者结合形成攻击链,AI代理被恶意输入操控,滥用合法权限泄露数据。

同时我们也可以看出,此次事件并非代码缺陷,而是架构设计导致的问题,并且也与模型无关,所有接入Github MCP的AI助手都会受到影响,并且修复难度较高,单纯补丁无法消除风险,并且攻击门槛也较低,攻击者仅需在公开仓库提交一个issue就会引发数据泄露风险。

VERIZON事件分类:Everything Else(其他项)

所用MITRE ATT&CK技术

技术 子技术 利用方式
T1090 命令与控制 .002 外部代理 攻击者可能利用AI代理与用户间的信任关系执行可能导致信息泄露的命令
T1567 通过Web服务外泄 N/A 攻击者可能利用Web服务对上一步获取的敏感信息进行外泄操作

参考链接https://mp.weixin.qq.com/s/BIvPDIFTaoBIvfsnezG3xw

事件三. 微软OneDrive被曝向AI聊天机器人开放用户文件完全读取权限

事件时间:2025年5月

泄露规模:数百万用户 OneDrive用户的云盘数据

事件回顾:2025年5月,Oasis Security研究团队发现微软的OneDrive File Picker的 OAuth 实现存在严重权限过度问题,会暴露用户的整个OneDrive内容。OneDrive File Picker是微软提供的用于上传或共享OneDrive中存储文件的工具。报告指出,如果用户使用该工具将文件上传至第三方服务,如ChatGPT、Slack、Trello和ClickUp等AI聊天机器人或其他应用程序,这些工具将获取对OneDrive所有文件的访问权限。Oasis研究团队估计有数百个应用程序受到影响,意味着数百万用户可能已经授予这些应用程序访问其OneDrive的权限。Oasis指出这个缺陷可能会产生严重的后果,包括客户数据泄露和违反合规法规。微软已确认该问题,表示将在未来版本中作出改进。

事件分析:此次事件的问题根源是OneDrive File Picker 缺乏细粒度 OAuth 范围,导致“上传单一文件”流程默认获取整个驱动器读权限;再加上 token 存储不安全,OneDrive File Picker要求开发者自行处理身份验证,通常使用微软身份验证库(MSAL),并且可能使用授权码流程:

1.MSAL默认将访问令牌以明文方式存储在浏览器的sessionStorage中;

2.授权码流程通常还会返回一个Refresh Token,该token可被用来持续刷新访问令牌,使攻击者能够长时间内访问用户数据;

因此,第三方应用可在用户不知情的情况下读取大量敏感数据,甚至持续监控。若 token 泄露,风险更上升至远程持续窃取。

VERIZON事件分类:System Intrusion(系统入侵)

所用MITRE ATT&CK技术

技术 子技术 利用方式
T1550有效账户 .006OAuth令牌 通过合法 OAuth 授权获取持续 token,实现持久访问。
T1078有效账户 N/A 利用用户自身提供的凭证(OAuth token)实现访问。
T1030数据传输大小限制规避 N/A 长期读取、拉取海量用户文件,涉及大量数据转移。
T1112修改注册表/T1612修改身份验证过程 N/A 虽非本次事件重点,但 token 存储可视为“认证流程不安全”;此技术补充说明 token 管理不当的风险。
T1586危害基础设施 N/A 攻击者可通过被动授权建立长期访问机制,作为基础设施后门使用。

参考链接:https://cybernews.com/security/onedrive-file-picker-exposes-user-data/

事件四. 黑客利用微软SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据

事件时间:2025年5月

泄露规模:SharePoint站群中存放的成千上万份文档与内部资料

事件回顾

2025 年 5月,安全机构PenTest Partners在报告中揭示攻击者可利用Microsoft CopilotforSharePoint代理避开传统日志监控去深度索引和获取SharePoint站点中的敏感信息,包括密码、私钥、API密钥、测试报告、内部文档等。(SharePoint是一个支持协作工作和信息共享的微软平台。它们的工作方式类似于包含图形和文本的常规Intranet页面,但它们也提供了存储和管理文件的位置。值得注意的是,当文件和图像在MicrosoftTeams上共享时,SharePoint会自动为它们创建一个站点。)代理方式有两种:微软预先构建的默认代理和由组织构建的自定义代理。

img
图2. 疑似微软Copilot代理聊天泄露信息1

通过这些代理,攻击者可以在短时间内检索和浏览大量数据集,还可以帮助攻击者快速理解内部术语、首字母缩略词和其他行话的含义。通过向代理解释需要的内容,它可以帮助攻击者准确计算出攻击者想要什么,并将这些内容反馈给攻击者,且不会显示访问日志和痕迹。

img
图3. 疑似微软Copilot代理聊天泄露信息2

事件分析

导致该安全事件发生的核心原因在于Microsoft 365 SharePoint中默认启用的Copilot AI Agent存在访问控制不严格、行为不可审计、以及提示词可被滥用等设计缺陷,导致攻击者可以通过合法界面绕过权限限制并获取大量敏感数据。

Default Agents滥用:Copilot Default Agent 默认安装在所有 SharePoint 站点里,具有访问站点内容的能力;使用特定prompt(如“请扫描此站点并列出密码、私钥、API密钥”),无需显式下载即可提取敏感信息,包括文件内容和链接;Agent提供文档内容摘要,但不会记录为“最近访问”,从而绕过日志监控。

绕过权限限制:即使用户处于“Restricted View”(仅浏览权限),Copilot也能提取文件内容,例如“Restricted View” 权限下,攻击者仍可获得 Passwords.txt 中的密码明文。

规避访问日志记录:通过Copilot访问的文件不会被标记为“已打开”或“最近访问”;常规监控手段无法发现 Copilot 的访问行为。

自定义Agent滥用:攻击者可注册自己的AI Agent;自定义Agent可配置更高访问权限,甚至跨站点;可在Agent Prompt/训练数据中预嵌后门,或用于数据存储。

VERIZON事件分类:System Intrusion(系统入侵)

所用MITRE ATT&CK技术

技术 子技术 利用方式
T1550使用有效账户 .004 Web 会话 Cookie 利用现有Copilot Agent建立访问通道
T1550使用有效账户 N/A 利用SharePoint授权的 Agent 控制访问
T1083 文件和目录发现 N/A 使用Agent搜索SharePoint站点中的文件
T1213数据来自本地系统 N/A 从SharePoint/Wiki 等信息库中提取数据
T1020自动数据传输 N/A 自动化提取敏感文档
T1027模糊处理 N/A Agent返回AI摘要而非完整日志来隐藏行为

参考链接:https://mp.weixin.qq.com/s/NNi6hwYeIcQtrOhVWkRyNw

三.大模型数据泄露防护建议

3.1 向量数据库加固

建立有效的访问控制机制:开启向量数据库自身的认证机制或引入外部的访问控制机制,避免向量数据库服务的互联网暴露及任意用户的未授权访问。

及时对向量数据库进行安全更新:及时更新向量数据库至安全版本,避免N Day漏洞的利用。

增加对向量数据内容的审计机制:定期对向量数据库中的内容进行安全审计,避免数据投毒攻击对其他服务的影响。

自动化监控及响应:建立自动化监控及响应机制,及时捕捉、响应向量数据库发生的异常操作。

3.2 AI代理系统架构修复

权限最小化OAuth范围精细化,强制限定AI代理权限(如GitHub MCP仅允许访问特定仓库,禁用跨库读写)。

采用动态权限审批机制

敏感操作(如创建PR、访问驱动器)需用户实时授权,禁止默认自动同意。

3.3 针对AI代理的行为管控

强制访问控制,权限继承机制,AI代理仅能访问用户显式授权的文件,且权限不超过用户自身(如Restricted View用户无法通过代理提取文件内容)。

敏感操作拦截,检测高风险Prompt关键词(如"列出密码”、“私钥”)

四.总结

本文分析了2025年3-6月大模型数据泄露典型安全事件,系统性探讨了事件成因,包括主流云攻击手法和配置错误等人为因素。为了更清晰地描述云上数据泄露的攻击路径,我们引用了MITRE ATT&CK模型中的攻击手法并进行了说明,有助于读者更好地理解这些攻击机制。

绿盟科技创新研究院在云上风险发现和数据泄露领域已经开展了多年的研究。借助Fusion数据泄露侦察平台,我们已监测到数百万个云端暴露资产存在未授权访问的情况,包括但不限于DevSecOps组件,自建仓库、公有云对象存储、云盘、OLAP/OLTP数据库,以及各类存储中间件等,具体研究内容可参考《2023公有云安全风险分析报告》[1],《2024上半年全球云数据泄露风险分析报告》[2],《全球云上数据泄露风险分析简报》第一期至第六期[3,4,5,6,7,8]。

Fusion是由绿盟科技创新研究院研发的一款面向数据泄露测绘的创新产品,集探测、识别、泄露数据侦察于一体,针对互联网中暴露的泛云组件进行测绘,识别组件关联的组织机构和组件风险的影响面,实现自动化的资产探测、风险发现、泄露数据分析、责任主体识别、数据泄露侦察全生命周期流程。

img
图4 Fusion能力全景图

五.参考文献

[1]《2023公有云安全风险分析报告》

https://book.yunzhan365.com/tkgd/qdvx/mobile/index.html

[2]《2024上半年全球云上数据泄露风险分析报告》 https://book.yunzhan365.com/tkgd/cltc/mobile/index.html

[3] 全球云上数据泄露风险分析简报 (第一期) https://book.yunzhan365.com/tkgd/sash/mobile/index.html

[4]全球云上数据泄露风险分析简报 (第二期) https://book.yunzhan365.com/tkgd/bxgy/mobile/index.html

[5] 全球云上数据泄露风险分析简报 (第三期) https://book.yunzhan365.com/tkgd/xyih/mobile/index.html

[6] 全球云上数据泄露风险分析简报 (第四期) https://book.yunzhan365.com/tkgd/xbin/mobile/index.html

[7] 全球云上数据泄露风险分析简报 (第五期) https://book.yunzhan365.com/tkgd/rpyc/mobile/index.html

[8] 全球云上数据泄露风险分析简报 (第六期) https://book.yunzhan365.com/tkgd/fzbu/mobile/index.html