文章总结： 微软365Copilot被曝存在严重漏洞CVE-2026-42824，攻击者可利用名为SearchLeak的三阶段攻击链，通过参数到提示注入、HTML注入竞争条件及SSRF漏洞，仅需一次用户交互即可窃取MFA代码、邮件、会议数据等敏感信息，该事件凸显了AI集成场景下新型攻击面的安全挑战。 综合评分： 85 文章分类： 漏洞分析,AI安全,Web安全,应用安全,数据安全

微软 365 Copilot 漏洞可通过一键攻击泄露敏感数据

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月16日 19:30 北京

在小说阅读器读本章

去阅读

微软 365 Copilot 被发现存在漏洞，容易受到名为“SearchLeak”的严重一键式数据泄露攻击链的影响，该攻击链通过结合 AI 特有的漏洞和传统的 Web 漏洞，泄露敏感的企业数据。

该漏洞由 Varonis Threat Labs 发现，编号为 CVE-2026-42824，评级为严重，它展示了现代 AI 集成如何通过将快速注入与传统安全漏洞联系起来，无意中扩大攻击面。

该漏洞影响 Microsoft 365 Copilot 企业搜索。攻击者可以利用该漏洞提取机密信息，例如 MFA 代码、电子邮件内容、会议数据以及存储在 SharePoint 和 OneDrive 中的文件，所有这些都只需一次用户交互即可触发。

微软 365 Copilot 漏洞

此次攻击的核心是一个三阶段的漏洞利用链，该链始于参数到提示符 (P2P) 注入漏洞。Microsoft 365 Copilot 企业搜索接受 URL 中包含的查询参数，这些 URL 旨在用于自然语言搜索。

然而，研究人员发现，Copilot 的人工智能引擎不仅将此参数解读为输入，还会将其解读为可执行指令。这使得攻击者能够构造恶意链接，嵌入隐藏的提示信息，引导 Copilot 获取敏感的组织数据。

由于 Copilot 是根据登录用户的权限运行的，因此即使是权限较低的账户也可以利用来访问有价值的内部数据。

第二阶段涉及Copilot 响应渲染过程中的HTML 注入竞争条件。虽然微软尝试通过将响应封装在代码块中来缓解恶意输出，但这种清理操作发生在 AI 开始输出数据流之后。

在这个短暂的时间窗口内，浏览器可以在保护机制生效之前渲染注入的 HTML 代码，例如图像标签。这使得浏览器能够在内容被屏蔽之前执行包含嵌入式敏感数据的出站请求。这种时间漏洞有效地绕过了输出编码保护，从而导致数据静默泄露。

最后阶段利用服务器端请求伪造 (SSRF) 攻击，并使用受信任的 Microsoft 域。由于内容安全策略 (CSP) 的限制，浏览器会阻止对不受信任域的请求。

然而，微软的云安全策略 (CSP) 允许使用 Bing 服务，包括其图像搜索功能。攻击者利用这一点，将窃取的数据嵌入到 Bing 图片搜索请求 URL 中。

当受害者的浏览器加载图片时，Bing 的后端服务器会获取攻击者控制的 URL，从而在不知情的情况下传输敏感数据。这种间接数据泄露方法绕过了浏览器层面的保护措施，并利用微软的基础设施作为代理。

在真实的攻击场景中，受害者会通过电子邮件或消息平台（例如 Teams 或 Slack）收到看似合法的 Microsoft 链接。

点击后，Copilot 会自动执行注入的提示，搜索企业数据源，并生成包含隐藏数据泄露有效载荷的响应。

数据随后在渲染阶段通过外部网络传输，无需额外交互。由于链接源自受信任的微软域，传统的网络钓鱼防御和 URL 过滤机制无法检测或阻止此类攻击。

SearchLeak 的影响非常显著，尤其是在 Copilot 与组织数据深度集成的企业环境中。

攻击者可以访问包含一次性密码的电子邮件主题行、机密通信、会议议程以及敏感的公司文件，例如财务报告或战略计划。

由于该攻击不需要受害者会话之外的身份验证，因此它实际上使攻击者能够间接访问企业数据，而不会触发传统的安全警报。

微软随后修复了该漏洞，但SearchLeak事件凸显了人工智能驱动系统中更广泛的安全挑战。该研究通过将提示注入、竞争条件和SSRF（站内请求伪造）相结合，揭示了人工智能如何充当桥梁，使原本孤立的漏洞在新环境中也能被利用。

这一发现与之前的发现（例如“Reprompt”漏洞）相呼应，凸显了对人工智能驱动的数据访问进行强有力的输入验证、实时输出清理和更严格控制的必要性。

随着企业不断采用 Copilot 等人工智能助手，安全团队必须重新评估威胁模型，以应对人工智能引发的攻击路径。SearchLeak 漏洞就是一个典型的例子，它表明只需单击一下，就能将一款生产力工具变成强大的数据泄露渠道。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软 365 Copilot 漏洞可通过一键攻击泄露敏感数据》