Kerentanan SearchLeak Rantaikan Suntikan Prompt Kepintaran Buatan dengan Pepijat Klasik untuk Curi Data

Pada Jun 2026, Varonis Threat Labs mendedahkan satu kerentanan yang lebih mirip novel pengintipan berbanding laporan CVE. Digelar SearchLeak, rantaian eksploitasi dalam Microsoft 365 Copilot Enterprise Search ini boleh menyedut data paling sensitif pengguna—e-mel, kod MFA sekali guna, pautan set semula kata laluan, dan fail terindeks—hanya dengan satu klik pada pautan microsoft.com yang sah . Tiada borang kata laluan, tiada klik kedua, tiada arahan jelas. Serangan ini tidak dapat dikesan oleh penapis anti-phishing kerana ia berlaku dalam domain Microsoft sendiri .

Diberikan pengecam CVE-2026-42824 dengan tahap "kritikal" oleh Microsoft, kerentanan ini telah ditampal di bahagian pelayan sebelum sebarang eksploitasi diketahui. Pelanggan tidak perlu melakukan apa-apa . Namun, kisah sebenar bukanlah tampalan itu—tetapi rantaian tiga peringkat bijak yang memungkinkannya, dan apa yang didedahkan tentang mengamankan alat perusahaan yang diselitkan AI.

Mengapa SearchLeak Penting

SearchLeak bukanlah satu pepijat besar yang tunggal. Ia adalah rantaian tiga kelemahan kecil, setiap satu dieksploitasi dengan teliti secara berturutan. Secara bersendirian, tiada satu pun daripadanya akan menjadi krisis. Bersama-sama, mereka membentuk saluran kecurian data senyap satu klik yang boleh mencapai apa sahaja yang boleh diakses oleh pengguna yang telah log masuk melalui Microsoft Graph: e-mel, jemputan kalendar, nota mesyuarat, dokumen SharePoint, dan fail OneDrive .

Yang penting, ia menekankan satu corak yang telah lama diberi amaran oleh penyelidik keselamatan. Pada Januari 2026, makmal yang sama di Varonis mendedahkan Reprompt, satu serangan satu klik yang hampir serupa terhadap Copilot Personal yang dihadapi pengguna biasa . Lebih awal lagi, pada Jun 2025, Aim Security telah mendedahkan EchoLeak, satu kerentanan tanpa klik yang mengeksploitasi suntikan prompt yang dibenamkan dalam dokumen berniat jahat . Kewujudan SearchLeak menunjukkan bahawa pagar keselamatan gred perusahaan tidak menghapuskan kelas risiko asas—ia hanya meningkatkan halangan untuk penyerang menjadi lebih kreatif.

Rantaian Tiga Pepijat

Setiap pautan dalam rantaian SearchLeak memberi pengajaran dengan sendirinya, tetapi kesan gabungan merekalah yang menjadikan serangan itu begitu kuat.

Peringkat 1: Suntikan Parameter-ke-Prompt (P2P)

Copilot Enterprise Search menerima satu parameter URL—q—yang mengandungi pertanyaan bahasa tabii pengguna. Penyelidik Varonis mendapati bahawa parameter itu bukan sahaja menerima frasa carian; ia menerima arahan prompt sewenang-wenangnya .

Seorang penyerang boleh menghasilkan URL yang, apabila dimuatkan oleh pengguna yang disahkan, mengarahkan Copilot untuk melakukan sesuatu yang sama sekali berbeza daripada apa yang kelihatan pada pautan itu. Sebagai contoh, satu pautan boleh memberitahu AI untuk mencari kod MFA sekali guna dalam peti mel mangsa, membenamkan kod itu dalam URL imej, dan melampirkannya pada respons. Mangsa melihat halaman carian berjenama Microsoft. Copilot mematuhi arahan yang disuntik secara senyap .

Teknik ini, yang dipanggil Varonis sebagai suntikan Parameter-ke-Prompt (P2P), adalah mekanisme yang sama yang menjadi teras kepada serangan Reprompt terhadap Copilot Personal sebelum ini .

Peringkat 2: Keadaan Perlumbaan (Race Condition) yang Memintas Pembersihan Kod

Apabila Copilot menjana output yang mengandungi penanda HTML (seperti tag <img>), pembersih kod di bahagian pelayan sepatutnya membalut output itu dalam blok kod supaya pelayar menganggapnya sebagai teks biasa yang tidak berbahaya. Masalahnya? Pembalutan itu hanya berlaku selepas kandungan dijana sepenuhnya .

Walau bagaimanapun, pelayar mula memaparkan respons semasa ia masih distrim masuk. Oleh itu, tag <img> yang disuntik penyerang akan melaksanakan permintaannya sebaik sahaja ia muncul dalam strim—sebelum pembersih kod sempat berjalan. Apabila blok kod muncul, URL imej itu telah pun diminta, dan data yang dikodkan dalam laluannya telah pun meninggalkan pelayar mangsa .

Ini adalah keadaan perlumbaan klasik yang bertukar maut dalam konteks kandungan yang dijana AI. Mekanisme pertahanan lama tidak direka bentuk semula untuk dunia di mana output AI itu sendiri dikawal oleh penyerang.

Peringkat 3: Kecurian Data Melalui Titik Akhir Bing yang Dibenarkan CSP

Walaupun dengan dua peringkat awal tersedia, satu halangan terakhir wujud: Polisi Keselamatan Kandungan (CSP) pada domain m365.cloud.microsoft menyekat imej daripada pelayan luaran sewenang-wenangnya. Walau bagaimanapun, *.bing.com berada dalam senarai dibenarkan .

Titik akhir "Cari melalui Imej" Bing membolehkan URL diambil di bahagian pelayan. Dalam eksploitasi SearchLeak, penyerang melampirkan data yang dicuri sebagai sebahagian daripada laluan carian imej (contohnya,

https://www.bing.com/images/search?q=/Kod_Keselamatan_Anda_847291/img.png

Penyerang hanya perlu memantau log titik akhir imej mereka sendiri, yang telah diperdayakan untuk dihubungi oleh pelayan Bing.

Kesederhanaan Menipu Satu Klik

Keseluruhan rantaian dilaksanakan secara automatik. Mangsa mengklik pautan. Copilot mencari data mereka sendiri. Output distrim ke pelayar. Tag <img> dilaksanakan. Pelayan Bing mengambil URL penyerang. Data itu dicuri. Semua ini berlaku sebelum pelayar pengguna selesai memaparkan halaman.

Serangan ini sukar dikesan kerana:

• URL berada pada domain Microsoft yang dipercayai, mengelak pengimbas URL dan pemeriksaan reputasi .
• Tiada dialog pengesahan atau klik kedua dicetuskan—sesi sedia ada mangsa digunakan.
• Semua permintaan keluar dihantar ke infrastruktur Microsoft yang dibenarkan.

Data yang boleh dicuri bukanlah teori. Penyelidik mengetengahkan kod MFA sekali guna dan pautan set semula kata laluan yang kekal sah selama beberapa minit, bersama butiran kalendar dan dokumen sensitif yang diindeks oleh Copilot .

Teka-teki Keterukan: Kritikal, tetapi Skor Apa?

CVE-2026-42824 mencetuskan perdebatan ringkas mengenai penarafan keterukan. Microsoft menetapkan kerentanan ini dengan label keterukan dalaman tertinggi—Kritikal—tetapi mengeluarkan skor asas CVSS v3.1 sebanyak 6.5 (Sederhana). Alasannya: serangan itu memerlukan interaksi pengguna (satu klik), yang mengurangkan skor .

Beberapa sumber melaporkan skor 7.5 (Tinggi) dari Pangkalan Data Kerentanan Kebangsaan (NVD) . Namun, dalam praktiknya, pelbagai semakan termasuk analisis TNW menyatakan bahawa kedua-dua rekod CSAF Microsoft dan entri NVD mencerminkan skor asas 6.5 yang serupa . Persepsi tentang skor yang lebih tinggi mungkin datang daripada penganalisis bebas yang mengira di bawah andaian impak yang lebih luas atau mengulangi laporan awal.

Tanpa mengira nombor, konsensusnya jelas: satu klik boleh mendedahkan data paling sensitif sesebuah organisasi.

Keturunan Kerentanan Copilot

SearchLeak tidak muncul dalam ruang hampa. Ia menyertai dua penemuan kecurian data AI mercu tanda lain:

• EchoLeak (CVE-2025-32711) — Jun 2025. Kerentanan tanpa klik dari Aim Security yang menggunakan suntikan prompt yang dibenamkan dalam dokumen yang diproses secara automatik oleh Copilot. Tiada interaksi pengguna diperlukan langsung. CVSS 9.3 .
• Reprompt — Januari 2026. Varonis menunjukkan bahawa Copilot Personal gred pengguna boleh dirampas dengan teknik suntikan P2P yang sama. Tiada perisian hasad, tiada pemalam, hanya URL yang direka khas .

Talian penghubung di sini adalah suntikan prompt, satu ancaman yang menjadikan keupayaan teras AI—mengikuti arahan—sebagai permukaan serangan. Setiap kerentanan berikutnya menunjukkan bahawa menampal satu permukaan (Pengguna vs. Perusahaan) atau menambah pagar keselamatan (pemprosesan dokumen vs. pertanyaan carian) tidak menghapuskan kelas risiko ini; ia hanya mengubah hala kreativiti penyerang .

Apa yang Perlu Dilakukan oleh Pentadbir Sewa Sekarang

SearchLeak sendiri telah ditampal dan tidak memerlukan tindakan pelanggan. Tetapi teknik itu tidak akan hilang, dan pasukan keselamatan harus mengaplikasikan pengajaran yang diperoleh.

Pantau URL Carian Copilot. Parameter q masih terdedah. Cari HTML terkod, muatan seperti skrip, atau rentetan arahan yang mencurigakan panjang dalam URL Carian Perusahaan Copilot yang mengalir melalui log proksi anda .

Perhatikan permintaan keluar yang tidak normal ke titik akhir imej Bing. Seorang pengguna yang tiba-tiba menjana pelbagai permintaan ke *.bing.com dengan laluan carian imej yang luar biasa—terutamanya corak yang menyerupai data yang dikodkan atau dicuri—harus menimbulkan amaran .

Hadkan permukaan terindeks Copilot. Amalkan tadbir urus data dengan keistimewaan minimum. Hadkan tapak SharePoint, folder OneDrive, dan peti mel mana yang boleh diindeks oleh Copilot supaya kerentanan masa depan tidak sama dengan kecurian semua yang boleh dicapai oleh pengguna. Audit dan kurangkan keizinan Microsoft Graph Copilot secara berkala .

Pendedahan SearchLeak bukanlah kisah tentang satu tampalan, tetapi amaran tentang persilangan yang berkembang antara suntikan prompt dan kerentanan web klasik. Apabila organisasi menggunakan pembantu AI dengan akses mendalam kepada data mereka, model keselamatan yang menganggap output AI sebagai kandungan yang dipercayai mesti dipertimbangkan semula. Rantaian seterusnya tidak akan menggunakan tiga pepijat yang sama—tetapi hampir pasti akan menggunakan semula corak yang sama.