报道称微软 Microsoft 365 Copilot 企业版存在一项被命名为 SearchLeak(CVE-2026-42824)的“关键”级漏洞,由 Varonis Threat Labs 的研究员 Dolev Taler 发现。攻击链为三阶段:攻击者将恶意参数嵌入合法 URL,用户点击后 Copilot 的 AI 将其当作搜索指令执行,随后把包括 2FA 验证码、邮件主题、会议邀请、OneDrive/SharePoint 文档等敏感数据嵌入图片 URL 并通过必应外发,从而导致数据泄露。微软已发布补丁,并称目前无证据显示漏洞被实际利用。
6 月 18 日消息,科技媒体 Ars Technica 于 6 月 16 日发布博文,报道称微软 Copilot 存在“关键”(critical)级漏洞,攻击者可获取用户包括 2FA 验证码、邮件主题、会议详情等敏感数据。
该漏洞追踪编号为 CVE-2026-42824,由网络安全公司 Varonis Threat Labs 发现,研究员 Dolev Taler 将其命名为 SearchLeak。
IT之家援引博文介绍,Taler 指出 SearchLeak 属于三阶段漏洞链,攻击者将恶意参数嵌入合法 URL,在用户点击该链接后,Copilot 的 AI 引擎会将 URL 解读为搜索指令,并执行如“搜索用户邮件”等操作。
Copilot 随后将敏感数据(如 2FA 验证码、邮件主题、会议邀请、OneDrive 文件内容)嵌入图片 URL,并通过必应(Bing)外传。
Taler 指出,有别于以往依赖系统漏洞,攻击者直接利用 AI 对自然语言指令的“轻信”,绕过常规检测。
该漏洞影响 Microsoft 365 Copilot 企业版,意味着攻击者能获取企业内部任何已索引的内容:邮件、SharePoint 文档、OneDrive 文件。微软已经发布补丁,并表示目前没有证据表明有黑客实际利用漏洞发起攻击。
