ثغرة SearchLeak: الرابط الخادع في Copilot الذي يستنزف البريد الإلكتروني عبر Bing

في 15 يونيو 2026، كشفت مختبرات Varonis Threat Labs عن سلسلة ثغرات أمنية حوّلت ميزة البحث في Microsoft 365 Copilot Enterprise إلى أداة لسرقة البيانات بنقرة واحدة فقط. كل ما يحتاجه الضحية هو النقر على رابط واحد يبدو طبيعياً ومستضافاً على نطاق microsoft.com، ليبدأ Copilot بصمت في فحص صندوق البريد الإلكتروني، واستخراج رموز التحقق الثنائي (MFA) وعناوين الرسائل، وتسريب هذه البيانات عبر البنية التحتية لمحرك Bing نفسه. تتبعت مايكروسوفت هذه الثغرة تحت المُعرّف CVE‑2026‑42824 وطرحت تحديثاً من جانب الخادم في نفس اليوم، دون الحاجة لأي تحديث من المستخدم .

أُطلق على هذا الهجوم اسم SearchLeak، وهو يُعتبر ثالث اختراق رئيسي من نوع "حقن الأوامر" يستهدف عائلة مساعدات Copilot من مايكروسوفت خلال اثني عشر شهراً، مما يجعله نمطاً متكرراً يجب على فرق الأمن فهمه، وليس مجرد حادثة معزولة.

سلسلة الهجوم المكونة من 3 مراحل

قوة هجوم SearchLeak لم تأتِ من ثغرة واحدة كبيرة، بل من دمج ثغرة جديدة نسبياً خاصة بالذكاء الاصطناعي مع ثغرتين كلاسيكيتين في أمن الويب. كل واحدة من هذه الثغرات بمفردها لا تُشكّل هجوماً ذا معنى، لكنها مجتمعةً كوّنت مساراً سلساً لتسريب البيانات .

المرحلة 1 — حقن وسيط الأمر إلى المُوجّه (Parameter-to-Prompt Injection)

نقطة البداية كانت عبر وسيط الاستعلام q الموجود في روابط البحث في Copilot Enterprise. مثل العديد من مساعدات الذكاء الاصطناعي، يقبل Copilot عبارات البحث باللغة الطبيعية من خلال رابط URL، لكنه على عكس محركات البحث التقليدية، كان يتعامل مع هذا المُدخل على أنه تعليمة قابلة للتنفيذ تُحقن مباشرة في المُوجّه (Prompt). صمّم باحثو Varonis قيمة لوسيط q تأمر Copilot بأن "يقرأ أحدث رسائل المستخدم الإلكترونية، ويستخرج أي رموز مرور لمرة واحدة، ويلخص العناوين، ويُضمّن النتائج كاستعلام بحث". ولأن الرابط كان مستضافاً على نطاق microsoft.com الحقيقي، كان من غير المرجح أن تلتقطه أدوات فحص التصيد الاحتيالي وفلاتر الروابط التقليدية .

المرحلة 2 — شرط التسابق في عرض HTML

كان Copilot يعرض نتائج البحث داخل المتصفح، ولم تكن عملية تنقية المُخرجات (Sanitization) كاملة. تسبب المُوجّه الخبيث الذي حُقن في جعل Copilot يُولّد استجابة تحتوي على وسم HTML من نوع <img>، تُشير خاصية src فيه إلى رابط يتحكم فيه المُهاجم. سمح شرط تسابق في "محرك العرض (Rendering Pipeline)" للمتصفح بأن يجلب ويُحمّل الصورة - مُرسلاً البيانات المسروقة مُشفّرة داخل طلب الصورة - قبل أن تتمكن فلاتر الأمان في Copilot من فحص المُخرجات وحظرها. عملياً، تسربت البيانات في اللحظة الفاصلة بين توليد الذكاء الاصطناعي لاستجابته، وقيام حارس الأمان بفحصها .

المرحلة 3 — تزوير الطلبات من جانب الخادم (SSRF) عبر نقطة نهاية Bing

آخر مرحلة في التسريب استغلت ثغرة تزوير طلبات من جانب الخادم (SSRF) ضد نقطة نهاية البحث عن الصور في Bing التابعة لمايكروسوفت. تم التلاعب بمصدر وسم <img> ليجعل المتصفح يُرسل طلباً إلى bing.com، وهو نطاق داخلي موثوق لدى مايكروسوفت. ولأن الطلب بدا وكأنه صادر من البنية التحتية لـ Bing، فقد عبر ضوابط خروج بيانات الشبكة المؤسسية وأنظمة منع تسرب البيانات (DLP) دون أن يُكتشف. البيانات الحساسة شُفّرت كوسائط في رابط الصورة البريء وأُرسلت مباشرة إلى خادم المُهاجم .

ما هي البيانات المُعرّضة للخطر؟

بمجرد تشغيله، كان Copilot يعمل بصلاحيات المستخدم المُخترَق. أثبت الباحثون قدرتهم على سرقة :

• رموز التحقق (MFA) وكلمات المرور الموجودة في نصوص رسائل البريد الإلكتروني.
• عناوين ومحتوى رسائل البريد الإلكتروني بالكامل.
• تفاصيل مواعيد التقويم.
• ملخصات ومحتويات الملفات المُفهرسة في SharePoint و OneDrive.

أي بيانات يمكن لميزة البحث في Copilot Enterprise الوصول إليها من خلال صلاحيات Microsoft Graph الخاصة بالمستخدم - وهي صلاحيات واسعة جداً في معظم المؤسسات - كانت مُعرّضة للتسريب.

مدى الانتشار والخطورة

وصفت قاعدة بيانات الثغرات الوطنية (NVD) السبب الجذري بأنه "تعطيل غير صحيح لعناصر خاصة مستخدمة في أمر ('حقن أوامر') في M365 Copilot" . تباينت درجات الخطورة:

• تقييم NVD حسب CVSS 3.1: 6.5 (متوسطة)، مع شعاع AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N .
• تقييم Tenable حسب CVSS v2: 7.8 (عالية) .
• تقييم مايكروسوفت الداخلي: "حرجة" .

كانت المخاطر العملية عالية لأن كل مستخدم لـ Microsoft 365 Copilot Enterprise كان هدفاً مُحتملاً، والهجوم لم يتطلب سوى نقرة واحدة على رابط يبدو موثوقاً تماماً، وكانت أدوات الأمان التقليدية للبريد الإلكتروني والشبكات عاجزة عن اكتشافه. أكدت مايكروسوفت أن الثغرة تمت معالجتها من جانب الخادم، ولم تُبلغ عن أي دليل على استغلالها بشكل نشط وقت الإفصاح عنها .

نمط متزايد: SearchLeak و Reprompt و EchoLeak

يُعتبر SearchLeak ثالث هجوم حقن أوامر رئيسي يُكتشف في مساعدات Microsoft Copilot خلال عام تقريباً. يكشف هذا التسلسل عن نقطة ضعف هيكلية، وليس مجرد أخطاء برمجية منعزلة.

Reprompt (CVE‑2026‑24307) — يناير 2026

نفس فريق Varonis كشف عن هجوم Reprompt، الذي استهدف Copilot Personal (النسخة الاستهلاكية). استخدم الهجوم أيضاً وسيط q في الرابط لحقن الأوامر، لكنه أضاف أسلوب "الطلب المزدوج": حماية Copilot من التسريب كانت تُطبّق فقط على التفاعل الأول، مما سمح بإعادة المحاولة لاستخراج سمات الملف الشخصي وملخصات الملفات وذاكرة المحادثة. عالجت مايكروسوفت هذا الهجوم في التحديثات الأمنية لشهر يناير 2026 .

EchoLeak (CVE‑2025‑32711) — يونيو 2025

اكتشفته شركة Aim Security، وكان هجوم EchoLeak من نوع "صفر-نقرة". بريد إلكتروني واحد يحتوي على وسوم صور مخفية بتنسيق Markdown، كان كفيلاً بتسريب البيانات عندما يقوم Copilot بمعالجة الرسالة - دون أي حاجة لنقرة من المستخدم. الهجوم أظهر أنه حتى المعالجة السلبية للمحتوى الموثوق من قبل الذكاء الاصطناعي يمكن تحويلها إلى سلاح .

SearchLeak (CVE‑2026‑42824) — يونيو 2026

النسخة المؤسسية التي جمعت بين حقن P2P وثغرات طبقة الويب لإنشاء سلسلة هجومية بنقرة واحدة تستغل بنية Bing التحتية نفسها كقناة للتسريب، متجاوزةً أنظمة منع تسرب البيانات بالكامل .

القاسم المشترك: جميع الهجمات الثلاثة تستغل نفس نقطة الضعف الهيكلية. المساعدات القائمة على نماذج اللغة الكبيرة (LLM) مثل Copilot تثق في المحتوى المقدّم من المستخدم - وسائط الروابط، نصوص البريد الإلكتروني، استعلامات البحث - وتتعامل معه كتعليمات شرعية. عندما تُنتج هذه المساعدات مخرجاتها، فإن هذه المخرجات غالباً ما تُشغّل سلوكيات تلقائية في المتصفحات أو برامج البريد الإلكتروني (مثل تحميل الصور، عرض الروابط، الجلب التلقائي)، مما يخلق قناة جانبية موثوقة لتسريب البيانات من المؤسسة. قامت مايكروسوفت بإصلاح كل ثغرة على حدة، لكن النمط المتكرر يوحي بأن هجمات "حقن الأوامر + قنوات التسريب الجانبية" ستستمر في الظهور حتى تُعالج هذه البنية مسألة أين يرسم المساعد الخط الفاصل بين "التعليمات" و"البيانات غير الموثوقة" .

ماذا يجب أن تفعل فرق الأمن الآن؟

بينما قامت مايكروسوفت بإصلاح هذه الثغرة تحديداً من جانب الخادم، فإن نمط الهجمات المتكرر يستدعي مراجعة شاملة:

• تدقيق الصلاحيات: قلّص وصول Copilot إلى البيانات الحساسة من خلال مراجعة صلاحيات Microsoft Graph. تأكد أن المساعد لا يستطيع الوصول إلى عناصر لا يحتاجها.
• مراقبة النشاط: فعّل إعدادات التدقيق لمراقبة استعلامات البحث في Copilot وعمليات الوصول إلى البيانات، وابحث عن أي أنماط غير طبيعية.
• توعية المستخدمين: درّب الموظفين على توخي الحذر حتى مع الروابط التي تبدو من microsoft.com إذا وصلت عبر قنوات غير معتادة، رغم أن الحل التقني يبقى الأساس.
• تقييم أدوات الأمن: تأكد من أن حلول منع تسرب البيانات (DLP) وأنظمة كشف الاختراق قادرة على تحليل سلوكيات مساعدات الذكاء الاصطناعي، وليس فقط حركة مرور الويب التقليدية.