IT之家 8 月 2 日消息，科技媒体 bleepingcomputer 昨日（8 月 1 日）发布博文，报道称让程序员“氪金”上瘾的 AI 工具 Cursor 存在 CurXecute 严重漏洞，几乎影响所有版本， 官方已于 7 月 29 日发布 1.3 版本修复，并敦促开发者尽快升级。

IT之家 8 月 2 日消息，科技媒体 bleepingcomputer 昨日（8 月 1 日）发布博文，报道称让程序员“氪金”上瘾的 AI 工具 Cursor 存在 CurXecute 严重漏洞，几乎影响所有版本， 官方已于 7 月 29 日发布 1.3 版本修复，并敦促开发者尽快升级。

Echoleak 预示着未来的发展趋势。 随着 LLM 的不断发展，它们的实用性正在逐渐成为一种负担。 它们深度集成到业务系统中，为攻击者提供了一种新的入侵方式——通过简单、精心设计的提示。 这不再仅仅关乎代码安全，而是关乎语言、意图和上下文的安全。

一封电子邮件就能悄无声息地触发 Copilot 泄露敏感企业数据，无需点击、无需警告、无需用户操作，这就是存在于 Microsoft 365 Copilot 中的严重漏洞EchoLeak，它使黑客能够在无需受害者采取任何行动的情况下窃取敏感企业数据。

微软安全公告确认，“EchoLeak”漏洞的 CVSS 评分为 9.3，属于极高危级别。 公司强调，该漏洞已通过服务端修复“全面缓解”，无需客户采取任何行动。

EchoLeak漏洞的根源在于Microsoft 365 Copilot依赖的检索增强生成（RAG）系统存在设计缺陷。 Copilot通过Microsoft Graph广泛访问组织内部数据，包括电子邮件、OneDrive文件、SharePoint站点和Teams对话等高度敏感的信息。

微软在随后的安全公告中重申，“EchoLeak”漏洞的CVSS评分为9.3，属于极高危级别，但公司已通过服务端修复措施全面缓解了该漏洞带来的风险，客户无需采取额外行动。 同时，微软强调，目前没有证据表明该漏洞已被实际利用，也未对任何客户造成实质性影响。

微软安全公告确认，“EchoLeak”漏洞的 CVSS 评分为 9.3，属于极高危级别。 公司强调，该漏洞已通过服务端修复“全面缓解”，无需客户采取任何行动。

EchoLeak漏洞的追踪编号为CVE-2025-32711，微软已确认该漏洞的存在，并表示已经完成了全面修复，确保没有客户受到影响。 根据AimLabs的详细披露，这一漏洞源于Microsoft 365 Copilot所依赖的检索增强生成（RAG）系统，其核心设计存在缺陷，使得攻击者能够通过复杂的攻击手段窃取敏感信息。