A Varonis Threat Labs divulgou uma vulnerabilidade critica no Microsoft 365 Copilot Enterprise, batizada de SearchLeak e registrada como CVE-2026-42824, que recebeu da Microsoft a classificacao de severidade maxima. Um unico clique em um link hospedado em um dominio legitimo de microsoft.com poderia exfiltrar silenciosamente dados corporativos sensiveis, incluindo codigos de autenticacao multifator, conteudo de e-mails, detalhes de agenda e arquivos confidenciais, sem nenhuma outra interacao do usuario. A Microsoft ja corrigiu a falha por completo no lado do servidor, de modo que nenhuma acao do usuario final e necessaria, e o pesquisador que a descobriu, Dolev Taler, da Varonis, tornou o caso publico em 15 de junho.
O que torna a SearchLeak notavel nao e apenas sua severidade, mas sua anatomia. O ataque encadeia tres fragilidades distintas em um unico caminho continuo: uma injecao Parameter-to-Prompt que contrabandeia instrucoes do atacante para o prompt do Copilot, uma condicao de corrida na renderizacao de HTML e um bypass de Content Security Policy que abusa de um server-side request forgery no Bing para escoar os dados roubados. Em termos simples, o atacante esconde instrucoes onde o assistente de IA vai le-las e obedece-las, e entao usa as camadas de renderizacao e de rede para levar os dados embora. Como o link malicioso reside em um dominio real de microsoft.com, as ferramentas convencionais de antiphishing e os filtros de URL nunca o sinalizam.
A SearchLeak e um exemplo de manual do tipo de falha que os pesquisadores de seguranca vem alertando o ano inteiro. Trata-se de um assistente de IA com acesso a dados privados, exposto a conteudo nao confiavel e conectado a um canal externo capaz de escoar informacoes, exatamente a combinacao que a OWASP descreveu recentemente como a trifecta letal da injecao de prompt. A diferenca aqui e que nao se trata de um experimento mental: alguem construiu a cadeia completa e transformou um assistente de produtividade em uma arma de exfiltracao de um clique. A medida que as empresas dao aos assistentes de IA um acesso cada vez mais profundo a e-mails, agendas e arquivos, a superficie de ataque deixa de ser apenas o modelo e passa a ser o modelo mais tudo o que ele tem permissao para ler e todos os lugares que ele tem permissao para alcancar.
A parte tranquilizadora e que esta falha esta corrigida, foi encontrada por pesquisadores e nao por atacantes, e foi remediada no servidor sem que os usuarios precisassem mover um dedo; a divulgacao responsavel funcionou como deveria. A parte menos tranquilizadora e o padrao. A injecao indireta de prompt continua provando ser uma classe real e exploravel de bug, e nao uma hipotese, e cada novo caso e mais refinado que o anterior. As defesas que se sustentam sao estruturais, mantendo conteudo nao confiavel, dados privados e canais de saida longe de se encontrarem em um mesmo contexto, em vez de tentar ensinar um modelo a reconhecer cada instrucao maliciosa. A SearchLeak e mais um ponto de dado de que o problema de seguranca da IA agentica nao e realmente o modelo se comportando mal por conta propria, e o que um atacante determinado pode faze-lo executar.