SearchLeak: Lỗ Hổng Một Cú Nhấp Chuột Biến Copilot Thành Công Cụ Đánh Cắp Dữ Liệu

Tại Sao SearchLeak Lại Đáng Quan Ngại

SearchLeak không phải là một lỗi đơn lẻ gây thảm họa. Nó là một chuỗi gồm ba điểm yếu nhỏ hơn, mỗi điểm yếu đều được khai thác cẩn thận theo một trình tự. Đứng riêng lẻ, không có lỗi nào trong số đó là một cuộc khủng hoảng. Nhưng khi kết hợp lại, chúng tạo thành một đường ống rò rỉ dữ liệu âm thầm chỉ bằng một cú nhấp chuột, có thể tiếp cận bất cứ thứ gì mà người dùng đã đăng nhập có thể truy cập thông qua Microsoft Graph: email, lời mời họp lịch, ghi chú cuộc họp, tài liệu SharePoint và tệp trên OneDrive .

Điều quan trọng là nó đã nhấn mạnh một mô thức mà các nhà nghiên cứu bảo mật đã cảnh báo từ trước. Vào tháng 1 năm 2026, cũng chính phòng thí nghiệm của Varonis đã công bố Reprompt, một cuộc tấn công chỉ bằng một cú nhấp chuột gần như tương tự nhắm vào Copilot Personal dành cho người dùng cá nhân . Thậm chí trước đó, vào tháng 6 năm 2025, Aim Security đã tiết lộ EchoLeak, một lỗ hổng không cần tương tác người dùng (zero-click) vũ khí hóa việc tiêm prompt nhúng trong một tài liệu độc hại . Sự xuất hiện của SearchLeak cho thấy các rào cản bảo vệ cấp doanh nghiệp đã không loại bỏ được loại rủi ro tiềm ẩn này – chúng chỉ nâng cao tiêu chuẩn để kẻ tấn công trở nên sáng tạo hơn.

Giải Phẫu Chuỗi Ba Lỗi Bảo Mật

Mỗi mắt xích trong chuỗi SearchLeak đều mang tính giáo huấn, nhưng chính hiệu ứng kết hợp của chúng mới khiến cuộc tấn công trở nên lợi hại đến vậy.

Giai đoạn 1: Tiêm Tham Số thành Prompt (Parameter-to-Prompt Injection)

Tính năng Tìm kiếm Doanh nghiệp của Copilot chấp nhận một tham số URL – q – chứa truy vấn ngôn ngữ tự nhiên của người dùng. Các nhà nghiên cứu của Varonis phát hiện ra rằng tham số này không chỉ chấp nhận một cụm từ tìm kiếm; nó còn chấp nhận cả các hướng dẫn prompt tùy ý .

Kẻ tấn công có thể tạo một URL mà khi được người dùng đã xác thực mở lên, Copilot sẽ được chỉ dẫn làm điều gì đó hoàn toàn khác với những gì liên kết hiển thị. Ví dụ, một liên kết có thể yêu cầu AI tìm kiếm trong hộp thư của nạn nhân mã MFA dùng một lần, nhúng mã đó vào một URL hình ảnh, và thêm nó vào phản hồi. Nạn nhân nhìn thấy một trang tìm kiếm mang thương hiệu Microsoft. Copilot thì âm thầm thực thi prompt đã bị tiêm nhiễm .

Kỹ thuật này, được Varonis gọi là tiêm Tham số thành Prompt (P2P injection), cũng chính là cơ chế cốt lõi của cuộc tấn công Reprompt trước đó nhắm vào Copilot Personal .

Giai đoạn 2: Race Condition Vượt Qua Cơ Chế Lọc

Khi Copilot tạo ra đầu ra chứa mã đánh dấu HTML (như thẻ <img>), một bộ lọc phía máy chủ có nhiệm vụ bao bọc đầu ra đó trong các khối mã (code blocks) để trình duyệt coi nó như văn bản thuần túy vô hại. Vấn đề là gì? Việc bao bọc chỉ xảy ra sau khi nội dung đã được tạo ra hoàn toàn .

Tuy nhiên, trình duyệt bắt đầu hiển thị phản hồi trong khi nó vẫn đang được truyền về. Do đó, một thẻ <img> do kẻ tấn công tiêm vào sẽ thực hiện yêu cầu ngay khi nó xuất hiện trong luồng dữ liệu – trước khi bộ lọc kịp chạy. Đến lúc khối mã xuất hiện, URL hình ảnh đã được yêu cầu, và dữ liệu được mã hóa trong đường dẫn của nó đã rời khỏi trình duyệt của nạn nhân .

Đây là một lỗi race condition kinh điển trở nên nguy hiểm chết người trong bối cảnh nội dung do AI tạo ra. Một cơ chế phòng thủ cũ đã không được thiết kế lại cho một thế giới mà chính đầu ra của AI lại bị kẻ tấn công kiểm soát.

Giai đoạn 3: Đánh Cắp Dữ Liệu Qua API Bing Nằm Trong Danh Sách Tin Cậy CSP

Ngay cả khi hai giai đoạn đầu đã sẵn sàng, vẫn còn một rào cản cuối cùng: Chính sách Bảo mật Nội dung (CSP) trên tên miền m365.cloud.microsoft chặn việc tải hình ảnh từ các máy chủ bên ngoài tùy ý. Tuy nhiên, *.bing.com lại nằm trong danh sách cho phép .

API "Tìm kiếm bằng Hình ảnh" của Bing cho phép một URL được tìm nạp từ phía máy chủ. Trong khai thác SearchLeak, kẻ tấn công đã thêm dữ liệu bị đánh cắp vào như một phần của đường dẫn tìm kiếm hình ảnh (ví dụ:

https://www.bing.com/images/search?q=/Ma_Bao_Mat_Cua_Ban_847291/img.png

Kẻ tấn công chỉ đơn giản là theo dõi nhật ký của API hình ảnh của chính chúng, thứ mà máy chủ Bing đã bị lừa truy cập vào.

Sự Đơn Giản Đánh Lừa Của Một Cú Nhấp Chuột

Toàn bộ chuỗi khai thác thực thi tự động. Nạn nhân nhấp vào một liên kết. Copilot tìm kiếm chính dữ liệu của họ. Đầu ra được truyền về trình duyệt. Một thẻ <img> được kích hoạt. Máy chủ của Bing tìm nạp URL của kẻ tấn công. Dữ liệu bị đánh cắp. Tất cả những điều này xảy ra trước khi trình duyệt của người dùng hiển thị xong trang.

Cuộc tấn công rất khó bị phát hiện bởi vì:

• URL nằm trên một tên miền Microsoft đáng tin cậy, dễ dàng qua mặt các trình quét URL và kiểm tra danh tiếng .
• Không có hộp thoại xác thực hay cú nhấp chuột thứ hai nào được kích hoạt – phiên đăng nhập hiện tại của nạn nhân đã bị lợi dụng.
• Tất cả các yêu cầu gửi đi đều hướng đến cơ sở hạ tầng Microsoft nằm trong danh sách tin cậy.

Dữ liệu có thể bị đánh cắp không phải là trên lý thuyết. Các nhà nghiên cứu đã nhấn mạnh đến các mã MFA dùng một lần và liên kết đặt lại mật khẩu có hiệu lực trong vài phút, cùng với chi tiết lịch họp và các tài liệu nhạy cảm được Copilot lập chỉ mục .

Bài Toán Về Mức Độ Nghiêm Trọng: Cực Kỳ Nguy Hiểm, Nhưng Điểm Số Là Bao Nhiêu?

CVE-2026-42824 đã gây ra một cuộc tranh luận ngắn về điểm số đánh giá mức độ nghiêm trọng. Microsoft đã gán cho lỗ hổng này nhãn mức độ nghiêm trọng nội bộ cao nhất – Nghiêm trọng (Critical) – nhưng lại đưa ra điểm CVSS v3.1 cơ bản là 6,5 (Trung bình). Lý do là: cuộc tấn công đòi hỏi sự tương tác của người dùng (cú nhấp chuột), điều này đã làm giảm điểm số .

Một số nguồn báo cáo điểm số 7,5 (Cao) từ Cơ sở dữ liệu Lỗ hổng Bảo mật Quốc gia Mỹ (NVD) . Tuy nhiên, trên thực tế, nhiều đánh giá bao gồm cả phân tích của TNW đều lưu ý rằng cả bản ghi CSAF của Microsoft và mục NVD đều phản ánh cùng một vector 6,5 . Sự khác biệt về điểm số có thể đến từ việc các nhà phân tích độc lập tự tính toán dựa trên các giả định tác động rộng hơn hoặc lặp lại theo các báo cáo ban đầu.

Bất kể con số là bao nhiêu, sự đồng thuận đều rất rõ ràng: chỉ một cú nhấp chuột cũng có thể làm lộ dữ liệu nhạy cảm nhất của một tổ chức.

Phả Hệ Các Lỗ Hổng Trên Copilot

SearchLeak không xuất hiện trong chân không. Nó gia nhập vào danh sách hai phát hiện mang tính bước ngoặt khác về khai thác dữ liệu từ AI:

• EchoLeak (CVE-2025-32711) — Tháng 6 năm 2025. Một lỗ hổng zero-click từ Aim Security sử dụng prompt injection được nhúng trong một tài liệu mà Copilot tự động xử lý. Không yêu cầu bất kỳ tương tác người dùng nào. Điểm CVSS 9.3 .
• Reprompt — Tháng 1 năm 2026. Varonis chỉ ra rằng Copilot Personal cấp độ người dùng cá nhân có thể bị chiếm quyền điều khiển bằng chính kỹ thuật P2P injection. Không cần phần mềm độc hại, không cần plugin, chỉ cần một URL được chế tác khéo léo .

Sợi chỉ xuyên suốt là prompt injection, một mối đe dọa biến khả năng cốt lõi của AI – làm theo hướng dẫn – thành một bề mặt tấn công. Mỗi lỗ hổng tiếp theo đều cho thấy việc vá một bề mặt (Người dùng cá nhân vs. Doanh nghiệp) hoặc thêm các rào cản (xử lý tài liệu vs. truy vấn tìm kiếm) không loại bỏ được lớp lỗ hổng này; nó chỉ chuyển hướng sự sáng tạo của kẻ tấn công mà thôi .

Quản Trị Viên Hệ Thống Nên Làm Gì Bây Giờ?

Bản thân lỗ hổng SearchLeak đã được vá và không yêu cầu người dùng thực hiện bất kỳ thao tác nào. Nhưng kỹ thuật này sẽ không biến mất, và các đội ngũ bảo mật nên vận dụng những bài học này vào thực tế.

Giám sát URL Tìm kiếm của Copilot. Tham số q vẫn được hiển thị công khai. Hãy tìm kiếm các đoạn mã HTML được mã hóa, các payload giống như script, hoặc các chuỗi hướng dẫn dài đáng ngờ trong các URL Tìm kiếm Doanh nghiệp của Copilot đi qua nhật ký proxy của bạn .

Theo dõi các yêu cầu gửi đi bất thường đến API hình ảnh của Bing. Việc một người dùng đột ngột tạo ra nhiều yêu cầu đến *.bing.com với các đường dẫn tìm kiếm hình ảnh khác thường – đặc biệt là các mẫu giống với dữ liệu đã được mã hóa hoặc đánh cắp – nên là một hồi chuông cảnh báo .

Hạn chế phạm vi lập chỉ mục của Copilot. Thực hành quản trị dữ liệu với nguyên tắc đặc quyền tối thiểu. Hạn chế những trang SharePoint, thư mục OneDrive và hộp thư mà Copilot có thể lập chỉ mục để một lỗ hổng trong tương lai không đồng nghĩa với việc đánh cắp mọi thứ mà người dùng có thể tiếp cận. Thường xuyên đánh giá và cắt giảm các quyền Microsoft Graph của Copilot .

Công bố về SearchLeak không phải là câu chuyện về một bản vá đơn lẻ, mà là lời cảnh báo về sự giao thoa đang ngày càng tiến hóa giữa prompt injection và các lỗ hổng web cổ điển. Khi các tổ chức áp dụng các trợ lý AI có quyền truy cập sâu vào dữ liệu của họ, các mô hình bảo mật coi đầu ra AI là nội dung đáng tin cậy cần phải được xem xét lại. Chuỗi tấn công tiếp theo sẽ không sử dụng ba lỗi giống hệt như trên – nhưng gần như chắc chắn nó sẽ tái sử dụng chính mô thức đó.