Et enkelt klik kunne tømme din indbakke: Derfor er SearchLeak et wakeup-call for AI-sikkerhed

Denne teknik kaldes Parameter-to-Prompt (P2P) injection og var nøjagtig den samme mekanisme, som Varonis tidligere havde afsløret i angrebet Reprompt mod den forbruger-rettede Copilot Personal . Forskellen var, at SearchLeak viste, at virksomhedernes ekstra sikkerhedsbarrierer ikke stoppede truslen .

2. Trin: Et ræs mod sikkerhedsfilteret

For at hindre netop denne type angreb har Microsoft en "sanitizer", der pakker AI-genereret HTML-kode ind i kodeblokke, så browseren viser den som uskadelig tekst. Problemet er, at denne indpakning først sker, efter at indholdet er færdiggenereret .

Moderne browsere viser dog data, mens de "streames" ind. Det betød, at angriberens indlejrede <img>-tag blev aktiveret og sendte sin forespørgsel af sted i samme sekund, det dukkede op på skærmen – længe før sanitizeren nåede at pakke det ind. Da kodeblokken endelig blev lagt hen over, var skaden allerede sket . Dette er et skoleeksempel på en klassisk race condition, som får nyt liv i en AI-kontekst.

3. Trin: Flugten gennem Bings billedsøgning

Selvom de to første trin lykkedes, var der endnu en forhindring: Microsofts Content Security Policy (CSP), som blokerer for indlæsning af billeder fra ukendte servere. Dog står alle underdomæner af *.bing.com på den interne tillidsliste .

Angriberen brugte Bings "Søg efter billede"-funktion, som kan hente en URL server-side. De stjålne data blev indsat som en del af billedstien (f.eks.

https://www.bing.com/images/search?q=/Din_Sikkerhedskode_847291/img.png

Et enkelt klik – uden spor

Hele kæden udfoldede sig automatisk på millisekunder. Det, der gjorde SearchLeak så snigende, var, at det opererede fuldstændig usynligt for traditionel overvågning:

• URL'en var på et betroet Microsoft-domæne, hvilket fik den til at se harmløs ud for URL-scannere, spam-filtre og omdømme-tjek .
• Ingen login-bokse, MFA-prompter eller sekundære klik. Angrebet brugte offerets aktive, autentificerede session.
• Al udgående trafik gik til Microsofts egen infrastruktur (Bing), hvilket gør det ekstremt svært at skelne angrebet fra almindelig brug .

De data, der kunne stjæles, var skræmmende konkrete. Det var ikke kun "måske nogle filer". Det kunne være engangs-MFA-koder, links til at nulstille adgangskoder (som er gyldige i minutter), detaljerede kalenderaftaler og alt det indhold, Copilot havde indekseret i SharePoint, OneDrive og mails .

Var den kritisk? Forvirringen om CVSS-scoren

Sårbarheden udløste en mindre debat om alvorlighedsgrader. Internt gav Microsoft den den højeste vurdering, "Critical", men det officielle CVSS-tal (v3.1) landede på 6.5 (Medium). Begrundelsen er, at angrebet krævede brugerinteraktion – det ene klik – hvilket trækker ned i scoren .

Det amerikanske NVD (National Vulnerability Database) blev i nogle medier citeret for en score på 7.5 (High) . I realiteten ser både Microsofts egen CSAF-post og NVD's officielle beregning dog ud til at være 6.5. Forvirringen kan skyldes, at uafhængige analytikere har regnet under bredere antagelser . Uanset tallet var eksperterne enige: Ét enkelt klik kunne potentielt blotte en hel organisations kronjuveler.

Ikke en enlig svale: Copilot-sårbarhedernes stamtræ

SearchLeaks afsløring var kulminationen på et mønster, som sikkerhedsverdenen har været opmærksom på:

• EchoLeak (CVE-2025-32711) – Juni 2025. Et nul-kliks-angreb fra Aim Security, der krævede absolut ingen brugerinteraktion overhovedet. Prompt-injektionen var gemt i et dokument, som Copilot automatisk behandlede. Alvorsgrad: 9.3 .
• Reprompt – Januar 2026. Varonis demonstrerede, at forbrugerudgaven Copilot Personal kunne kapres med den samme P2P-teknik. Intet malware, ingen plugins – bare et manipuleret link .

Fællesnævneren er prompt injection, en trussel, der gør AI’ens kerneopgave – at følge instrukser – til en angrebsflade. Hver ny sårbarhed viser, at man ikke kan fjerne denne risiko ved at lappe en enkelt overflade (f.eks. Forbruger vs. Virksomhed) eller ved at opstille nye, simple barrierer (f.eks. dokumentscanning vs. søgeforespørgsler). Man omdirigerer kun angriberens kreativitet .

Hvad bør virksomheder og it-ansvarlige gøre nu?

Selve SearchLeak-sårbarheden er lukket server-side af Microsoft, og der kræves ingen opdatering fra kunder . Men teknikken bag er kommet for at blive, og sikkerhedsteams bør bruge afsløringen til at skærpe deres forsvar.

1. Overvåg URL'er til Copilot-søgninger. Hold øje med indholdet i q-parameteret, der sendes til Copilot Enterprise Search. Vær på vagt over for HTML-koder, script-lignende strenge eller mistænkeligt lange instruktioner i jeres proxylogs .
2. Hold øje med unormale kald til Bings billed-endpoint. En pludselig strøm af forespørgsler til *.bing.com med usædvanlige, kodede stier, der ligner data-udslusning, bør udløse en alarm .
3. Begræns den data, Copilot kan se. Følg princippet om mindst privilegium. Styr hvilke SharePoint-sites, OneDrive-mapper og postkasser, Copilot har indekseret. Regelmæssig gennemgang og reduktion af Copilots tilladelser i Microsoft Graph er den mest effektive måde at mindske skadesradius ved fremtidige sårbarheder .

SearchLeak handlede i sidste ende ikke om en enkelt patch. Det var en demonstration af, hvad der sker, når prompt-injektion møder klassiske web-sårbarheder inde i et værktøj, vi har givet dyb adgang til vores data. Sikkerhedsmodeller, der i dag blindt stoler på output fra en AI-assistent, skal gentænkes. Det næste angreb vil ikke bruge de samme tre fejl – men det vil næsten helt sikkert følge samme opskrift.