Microsoft 365 Copilot की एक-क्लिक खामी, SearchLeak, चुरा सकती थी MFA कोड, ईमेल और फाइलें

Varonis Threat Labs ने Microsoft 365 Copilot Enterprise में एक गंभीर vulnerability का खुलासा किया है, जिसे SearchLeak नाम दिया गया है और CVE-2026-42824 के रूप में ट्रैक किया गया है, जिसे Microsoft की अधिकतम गंभीरता रेटिंग मिली। एक वैध microsoft.com डोमेन पर होस्ट किए गए लिंक पर सिर्फ एक क्लिक संवेदनशील कॉर्पोरेट डेटा को चुपचाप exfiltrate कर सकता था, जिसमें multi-factor authentication कोड, ईमेल सामग्री, कैलेंडर विवरण और गोपनीय फाइलें शामिल थीं, और इसके लिए किसी अतिरिक्त उपयोगकर्ता इंटरैक्शन की जरूरत नहीं थी। Microsoft ने इस खामी को server-side पर पूरी तरह ठीक कर दिया है, इसलिए किसी end-user कार्रवाई की जरूरत नहीं, और इसे खोजने वाले शोधकर्ता, Varonis के Dolev Taler, ने 15 जून को इसे सार्वजनिक किया।

SearchLeak को उल्लेखनीय बनाने वाली बात सिर्फ इसकी गंभीरता नहीं, बल्कि इसकी बनावट है। यह हमला तीन अलग कमजोरियों को एक सहज रास्ते में जोड़ता है, एक Parameter-to-Prompt injection जो हमलावर के निर्देश Copilot के prompt में घुसा देता है, एक HTML rendering race condition, और एक Content Security Policy bypass जो चुराए गए डेटा को बाहर भेजने के लिए Bing के server-side request forgery का दुरुपयोग करता है। सीधे शब्दों में, हमलावर निर्देश वहां छिपा देता है जहां AI असिस्टेंट उन्हें पढ़कर मान लेगा, फिर डेटा को बाहर ले जाने के लिए rendering और network परतों का उपयोग करता है। चूंकि दुर्भावनापूर्ण लिंक असली microsoft.com डोमेन पर रहता है, पारंपरिक anti-phishing उपकरण और URL फिल्टर इसे कभी फ्लैग नहीं करते।

SearchLeak उस विफलता-तरीके का एक पाठ्यपुस्तक उदाहरण है जिसके बारे में सुरक्षा शोधकर्ता पूरे साल चेतावनी देते रहे हैं। यह एक AI असिस्टेंट है जिसके पास निजी डेटा तक पहुंच है, अविश्वसनीय सामग्री के संपर्क में है, और एक बाहरी चैनल से जुड़ा है जो जानकारी बाहर ले जा सकता है, ठीक वही संयोजन जिसे OWASP ने हाल ही में prompt injection का lethal trifecta बताया था। यहां फर्क यह है कि यह कोई विचार-प्रयोग नहीं है, किसी ने पूरी चेन बना ली और एक productivity असिस्टेंट को एक-क्लिक exfiltration हथियार में बदल दिया। जैसे-जैसे कंपनियां AI असिस्टेंट को ईमेल, कैलेंडर और फाइलों तक और गहरी पहुंच देती हैं, हमले की सतह सिर्फ मॉडल नहीं रह जाती, बल्कि मॉडल और वह सब कुछ बन जाती है जिसे पढ़ने और जहां पहुंचने की उसे अनुमति है।

आश्वस्त करने वाला हिस्सा यह है कि यह खामी ठीक हो चुकी है, हमलावरों के बजाय शोधकर्ताओं द्वारा पाई गई, और server-side पर इस तरह ठीक की गई कि उपयोगकर्ताओं को उंगली तक नहीं हिलानी पड़ी, responsible disclosure ठीक वैसे ही काम कर गई जैसा इरादा था। कम आश्वस्त करने वाला हिस्सा यह पैटर्न है। Indirect prompt injection बार-बार साबित होता रहता है कि यह एक असली, exploitable बग वर्ग है, न कि कोई काल्पनिक बात, और हर नया उदाहरण पिछले से ज्यादा परिष्कृत है। जो बचाव टिकते हैं वे संरचनात्मक हैं, अविश्वसनीय सामग्री, निजी डेटा और बाहर जाने वाले चैनलों को एक ही context में कभी न मिलने देना, बजाय किसी मॉडल को हर दुर्भावनापूर्ण निर्देश पहचानना सिखाने की कोशिश करने के। SearchLeak एक और सबूत है कि agentic-AI सुरक्षा समस्या असल में मॉडल के अपने आप गलत व्यवहार करने की नहीं है, बल्कि यह है कि एक दृढ़ हमलावर उससे क्या करा सकता है।