Varonis Threat Labs 揭露了一項存在於 Microsoft 365 Copilot Enterprise 中的重大漏洞,命名為 SearchLeak,追蹤編號為 CVE-2026-42824,並獲微軟評定為最高嚴重等級。受害者只要點擊一個寄宿在合法 microsoft.com 網域上的連結,攻擊者便能在無聲無息間外洩敏感的企業資料,包括多因素驗證(MFA)碼、電子郵件內容、行事曆細節以及機密檔案,且全程無需使用者再有任何進一步互動。微軟已在伺服器端完成全面修補,因此終端使用者無需採取任何行動,而發現此漏洞的 Varonis 研究員 Dolev Taler 也已於 6 月 15 日公開揭露。
SearchLeak 之所以值得關注,不僅在於其嚴重程度,更在於它的構造。這項攻擊將三項各自獨立的弱點串連成一條順暢無礙的路徑:一是 Parameter-to-Prompt 注入,將攻擊者的指令偷渡進 Copilot 的提示中,二是 HTML 算繪的競爭條件,三是濫用 Bing 伺服器端請求偽造(SSRF)的 Content Security Policy 繞過手法,藉此把竊得的資料送出。說得直白些,攻擊者把指令藏在 AI 助理會讀取並服從的地方,再利用算繪層與網路層把資料運走。由於這個惡意連結寄宿在真實的 microsoft.com 網域上,傳統的反釣魚工具與網址過濾器從未對它示警。
SearchLeak 正是資安研究人員整整一年來不斷示警的那種失效模式的教科書級實例。它是一個可存取私密資料的 AI 助理,暴露於不受信任的內容之中,又連上了一條能把資訊帶出去的外部通道,這正是 OWASP 近期所形容、提示注入的'致命三要素'。不同之處在於,這次它不再只是思想實驗:有人把整條攻擊鏈打造了出來,將一個生產力助理變成了一鍵外洩武器。隨著企業賦予 AI 助理對電子郵件、行事曆與檔案越來越深入的存取權,攻擊面便不再只是模型本身,而是模型加上它被允許讀取的一切,以及它被允許觸及的每一處。
令人寬慰的部分是,這次的漏洞已經修補,是由研究人員而非攻擊者率先發現,並在伺服器端完成修補,使用者無需動一根手指,負責任的揭露機制如預期般發揮了作用。比較不令人寬慰的部分則是這個模式本身。間接提示注入不斷證明自己是一種真實且可被利用的漏洞類型,而非理論假設,而且每一個新案例都比前一個更加精緻。真正站得住腳的防禦是結構性的,亦即讓不受信任的內容、私密資料與對外通道永遠不在同一個情境中交會,而非試圖訓練模型去辨識每一道惡意指令。SearchLeak 再一次印證了,代理式 AI 的資安問題其實並不在於模型自己行為失常,而在於一個處心積慮的攻擊者能驅使它做出什麼。