Varonis Threat Labs 披露了 Microsoft 365 Copilot Enterprise 中的一个严重漏洞,命名为 SearchLeak,编号为 CVE-2026-42824,并被微软评为最高严重等级。攻击者只需让用户点击一个托管在合法 microsoft.com 域名上的链接,就能在用户无需任何后续操作的情况下,悄无声息地窃取敏感的企业数据,包括多因素认证(MFA)验证码、邮件内容、日历详情以及机密文件。微软已在服务器端完成全面修复,因此终端用户无需采取任何行动,发现该漏洞的 Varonis 研究员 Dolev Taler 于 6 月 15 日将其公开。
SearchLeak 之所以引人注目,不仅在于其严重程度,更在于其攻击结构。整个攻击把三个不同的弱点串联成一条无缝路径,分别是把攻击者指令偷偷塞进 Copilot 提示词的 Parameter-to-Prompt 注入、一个 HTML 渲染竞态条件,以及一个滥用 Bing 服务器端请求伪造(SSRF)来把窃取的数据发送出去的 Content Security Policy 绕过。说得直白些,攻击者把指令藏在 AI 助手会读取并照办的地方,再利用渲染层和网络层把数据带走。由于这个恶意链接托管在真实的 microsoft.com 域名上,传统的反钓鱼工具和 URL 过滤器从不会将其标记为可疑。
SearchLeak 是安全研究人员整整一年来反复警告的那种失效模式的典型实例。它是一个能够访问私有数据、暴露于不可信内容、又连接着可将信息带出的对外通道的 AI 助手,正是 OWASP 近期所描述的提示注入'致命三要素'的精确组合。不同之处在于,这次它不再是一个思想实验,而是有人构建出了完整的攻击链,把一个生产力助手变成了一件一键窃取数据的武器。随着各家公司赋予 AI 助手对邮件、日历和文件越来越深入的访问权限,攻击面就不再仅仅是模型本身,而是模型加上它被允许读取的一切,以及它被允许触及的每一处。
令人安心的一面是,这个漏洞已被修复,而且是由研究人员而非攻击者率先发现,并在服务器端完成修复,用户无需动一根手指,负责任的披露正如预期那样发挥了作用。不那么令人安心的一面则是这一规律本身。间接提示注入一再被证明是一类真实且可被利用的漏洞,而非假设,而且每一个新案例都比上一个更加精巧。真正经得起考验的防御是结构性的,即让不可信内容、私有数据与对外通道永远不在同一上下文中相遇,而不是试图训练模型去识别每一条恶意指令。SearchLeak 又一次印证了,智能体 AI 的安全问题并不真正在于模型自己行为失常,而在于一个意志坚定的攻击者能让它做出什么。