一句话看懂:安全研究人员在 Microsoft 365 Copilot 中发现一个名为 SearchLeak 的三阶段漏洞链,攻击者可通过发送特制链接,诱导 Copilot 在保护机制生效前将用户的电子邮件、2FA 验证码等敏感数据发送至外部服务器。
事件核心:发生了什么
据 Mashable 报道,Varonis Threat Labs 的研究人员发现了一个针对 Microsoft 365 Copilot 企业版的新漏洞链,被命名为 SearchLeak。该漏洞由三种攻击组合而成:一种名为 Parameter-to-Prompt Injection(P2P)的新型 AI 注入攻击,以及两种传统 Web 漏洞——HTML 注入竞态条件和通过 Bing 服务端请求伪造绕过内容安全策略(CSP)。攻击者只需向目标用户发送一个包含恶意提示词的 URL,用户在 Copilot 中打开后,Copilot 会执行嵌入的指令(如搜索邮件并提取标题),并在其生成响应的“流式传输”阶段,在保护性格式化(代码块包裹)尚未应用时,将原始 HTML 暴露在 DOM 中。随后,攻击者通过 Bing 的“以图搜图”功能作为代理,将窃取的数据发送到攻击者控制的域。
为什么重要
此漏洞的特殊性在于它利用的是 AI 产品在响应生成过程中的时间差和管道机制,而非直接攻击模型本身。Varonis 指出,Microsoft 企业版 Copilot 能访问用户邮箱、会议记录、SharePoint 文档、OneDrive 文件乃至更多组织内索引内容,因此“爆炸半径”远超个人数据泄露,可能波及整个企业的敏感信息。这一发现表明,尽管 AI 厂商在模型层面设置了安全护栏,但在产品化实现中的交互流程(如流式渲染、外部资源加载)仍存在传统 Web 安全难以覆盖的攻击面。
对用户/开发者/创作者的影响
对于企业用户和 IT 管理员,此漏洞直接威胁到组织内数据和身份验证系统的安全,尤其是 2FA 代码的泄露可能引发账户连锁失陷。开发者和管理员应关注 Microsoft 对此漏洞的修复进度,并考虑在 Copilot 部署环境中加强对外部链接的审核和用户安全意识培训。对于普通用户,目前公开信息显示该攻击主要针对企业版,个人消费者版(如 Copilot in Windows)是否受影响尚不明确,但应当警惕点击来源不明的包含查询参数的链接。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. Microsoft 是否已发布官方补丁或临时缓解措施,以及用户是否需要手动更新。2. Varonis 是否会在即将举行的安全会议上公开更多技术细节和 PoC 代码,供安全社区进一步验证和防御。3. 该漏洞披露后,是否引发其他 AI 产品对类似流式渲染和外部资源加载流程的安全审查。
来源:Mashable
![[推广] 🚀 Claude360 GPT/Claude/Gemini 直连中转。留 ID 送体验额度。](https://www.chat-gpts.plus/wp-content/uploads/2026/06/ai_cover_4-655-768x403.jpg)
![[Claude Code] codex 与 Claude 相比,仍然存在差距](https://www.chat-gpts.plus/wp-content/uploads/2026/06/ai_cover_3-658-768x403.jpg)