一句话看懂:微软于上周二修复了 M365 Copilot 中的一个最高严重级漏洞。该漏洞允许攻击者通过诱导用户点击恶意链接,利用 Copilot 的搜索功能窃取邮件中的双因素认证码(2FA 码)及其他敏感数据,即便 Copilot 已设置多重防护栏。
事件核心:发生了什么
安全公司 Varonis 的研究人员发现并披露了一个名为 SearchLeak 的攻击链。该漏洞利用了 Copilot 的“参数到提示注入”(Parameter-to-Prompt Injection)缺陷:攻击者向目标用户发送一封包含特定格式 URL 的邮件,URL 的查询参数(q 字段)中嵌入了恶意指令。当用户点击该链接后,Copilot 会执行指令,将用户的邮件标题、2FA 码等敏感信息嵌入到 HTML 图片标签()的 src 地址中。尽管微软设置了将 Copilot 输出包裹在
块中以防止数据外泄的护栏,但研究人员发现该护栏仅在“思考”阶段后生效,而浏览器会在响应流式传输过程中立即渲染 标签并发出 HTTP 请求,从而在护栏生效前就已将数据发送出去。为了绕过 Copilot 对不信任站点的请求限制,攻击者利用微软必应搜索(Bing)作为跳板,将包含敏感数据的请求经必应转发至攻击者控制的服务器。
为什么重要
此漏洞揭示了当前主流大语言模型(LLM)产品的一个根本性安全困境:AI 模型无法可靠地区分用户指令与混入第三方内容中的恶意指令。Varonis 指出,由于 SearchLeak 针对的是微软的企业级 M365 Copilot 服务,其影响范围远不止个人数据,而是能够暴露企业内部邮件、会议邀请、SharePoint 文档、OneDrive 文件等所有用户有权访问的内容。微软虽然通过修补特定漏洞(如限制参数注入)暂时封堵了 SearchLeak,但业界普遍认为,目前没有已知方法能彻底修复导致此类问题的根本原因——AI 的“易受欺骗性”。这意味着,类似的“越狱”攻击未来很可能以不同形式反复出现。
对用户/开发者/创作者的影响
对于企业采购和使用 Microsoft 365 Copilot 的 IT 管理者来说,这是一个明确的安全警示:不能仅依赖 AI 平台内置的防护栏来保护敏感业务数据。即便微软已修复该特定漏洞,企业仍需对 Copilot 等 AI 助手进行额外安全配置,例如严格限制其对哪些内部数据源有访问权限、监控异常的外发网络请求。对于开发者而言,该案例说明在构建 AI 应用时,将用户提示与第三方内容严格隔离(如使用独立的提示上下文窗口)是当前最有效的安全设计之一。普通用户则应警惕来自不明来源的包含复杂 URL 参数的链接,尤其是在使用已集成 AI 功能的办公软件时。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
目前公开信息显示,微软已发布补丁修复了 SearchLeak 攻击所利用的参数注入与图片渲染时序问题。值得持续观察的是:第一,微软是否会公布针对 Copilot 的长期安全架构改进方案,例如在模型训练或推理阶段加入更鲁棒的指令边界判断机制。第二,其他推出类似 AI 办公助手产品的厂商(如 Google Workspace 的 Gemini)是否也会爆出类似漏洞,并采取怎样的修复思路。第三,企业安全社区是否会形成针对 AI 助手类产品的专项安全审计标准,这将在未来影响企业采购此类工具的决策。
