返回首頁

點一下連結就能竊取機密?微軟 Copilot 爆發「SearchLeak」資安漏洞

編輯核心觀點

  • 資安研究機構 Varonis 發現 Microsoft 365 Copilot 存在漏洞鏈,攻擊者僅需誘騙使用者點擊惡意連結,即可竊取郵件、行事曆與檔案。
  • 該攻擊手法利用 AI 處理自然語言指令的特性,結合伺服器端請求偽造(SSRF)與瀏覽器渲染競態條件,繞過傳統防禦機制。
  • 微軟已在後端修復此漏洞,無需使用者採取任何行動,但此事件凸顯 AI 系統整合企業權限後,已成為新型態的資安攻擊目標。
點一下連結就能竊取機密?微軟 Copilot 爆發「SearchLeak」資安漏洞

點擊即中招:SearchLeak 攻擊原理

資安研究機構 Varonis Threat Labs 近期揭露了一項針對 Microsoft 365 Copilot Enterprise Search 的漏洞鏈,並將其命名為「SearchLeak」。這項漏洞允許攻擊者透過精心設計的 microsoft.com 合法網域連結,在使用者毫無察覺的情況下,竊取包含電子郵件、行事曆條目及已索引檔案在內的機密資料。

Varonis 研究員 Dolev Taler 指出,受害者無需輸入任何提示詞、密碼,甚至不需要進行第二次點擊,僅需點開連結,Copilot 就會自動執行攻擊指令。微軟已於 2026 年 6 月 4 日為此指派 CVE-2026-42824 編號,並將其列為「關鍵(Critical)」等級漏洞,儘管 CVSS v3.1 基礎評分為 6.5(中等)。

三階段漏洞鏈:AI 如何被「指令注入」

SearchLeak 的威力在於結合了三種不同弱點,每一項單獨存在時影響有限,但串聯後卻極具破壞力:

  • 參數注入(Parameter-to-prompt Injection):攻擊者在 Copilot 搜尋 URL 的「q」參數中植入指令,要求 AI 搜尋受害者的信箱,並將郵件主旨等敏感資料嵌入圖片網址中。
  • 渲染競態條件(Race Condition):瀏覽器在處理 Copilot 輸出串流時,會在內容安全政策(CSP)生效前,先執行嵌入的圖片標籤請求,導致資料在系統過濾前就已外洩。
  • 伺服器端請求偽造(SSRF):攻擊者利用 Bing 的「以圖搜圖(Search by Image)」功能作為中繼站。由於 Bing 的基礎設施在 CSP 的信任清單中,Bing 會代表攻擊者發送請求,將編碼後的機密資料傳送至攻擊者的伺服器。

AI 時代的資安新挑戰

這並非 Copilot 首次遭遇類似攻擊。Varonis 先前曾揭露針對 Copilot Personal 的「Reprompt」攻擊,而 Aim Security 也在 2025 年發現了無需使用者互動的「EchoLeak」(CVE-2025-32711)。這些案例顯示,提示詞注入(Prompt Injection)正成為將舊有網頁漏洞轉化為新型威脅的關鍵因素。

AI 系統不只是在搜尋,它會遵循查詢中嵌入的指令,而這些指令可能包含傳統搜尋介面無法實現的資料外洩邏輯。

對於企業而言,現有的資安工具(如網域信譽檢查或內容安全政策)往往難以偵測這類攻擊,因為連結本身來自合法的微軟網域。Varonis 建議企業應監控 Copilot 搜尋 URL 中是否存在異常的編碼負載,並縮小 Copilot 的資料存取權限,以降低未來潛在漏洞的影響範圍。

資料來源

本文由 AI 綜合上述來源編譯整理,內容僅供參考;著作權歸原出處所有。

相關文章