漏洞SearchLeak深度解析：一次点击，如何让企业机密数据瞬间裸奔

2026年6月，Varonis威胁实验室揭开了一个漏洞的面纱，其情节更像间谍小说而非一份CVE报告。这个被命名为SearchLeak的攻击链存在于微软365 Copilot企业搜索服务中，攻击者只需诱使用户点击一个完全合法的microsoft.com链接，就能窃取用户最敏感的数据——包括电子邮件、一次性MFA验证码、密码重置链接以及已被索引的文件 。整个过程无需输入密码，无需二次点击，甚至不需要明确的提示指令。由于攻击发生在微软自家域名上，它对于反钓鱼过滤器是完全隐身的 。

该漏洞被分配编号CVE-2026-42824，微软内部将其定为“严重”级别。漏洞已在服务器端完成修复，目前尚无已知的在野利用案例，用户无需进行任何操作 。然而，真正的故事并非关于这次修补，而是使其成为可能的那个精妙的三阶段攻击链，以及它为我们揭示的、在AI深度融入企业工具时代所必须面对的安全新挑战。

SearchLeak为何至关重要

SearchLeak并非一个惊天动地的单一漏洞。它是由三个较小的弱点组成的链条，每一个弱点都被精心地按顺序利用。单独看，其中任何一个都不构成危机。但组合在一起，它们就形成了一条悄无声息的一键式数据外传通道，能够获取到已登录用户通过微软Graph API能够访问的任何内容：邮件、日历邀请、会议笔记、SharePoint文档和OneDrive文件 。

至关重要的是，它印证了安全研究人员一直警告的一种模式。2026年1月，Varonis的同一个实验室就曾披露Reprompt漏洞，这是一个针对消费者版Copilot个人版的、几乎完全相同的一键式攻击 。更早之前，在2025年6月，Aim Security公司曾揭露EchoLeak漏洞，这是一个零点击漏洞，它将恶意提示注入技术武器化，隐藏在一份恶意文档中 。SearchLeak的出现表明，企业级的防护措施并未消除底层的风险类别——它们只是抬高了攻击者发挥创造力的门槛。

三环相扣的漏洞链

SearchLeak链条中的每一环都极富启示意义，但它们组合起来的威力才是攻击如此强大的原因。

第一阶段：参数到提示（P2P）注入

Copilot企业搜索会接受一个URL参数q，其中包含用户的自然语言查询。Varonis的研究人员发现，这个参数不仅接受搜索短语，还能接受任意的提示指令 。

攻击者可以构造一个URL，当已认证用户加载这个链接时，它会指示Copilot执行与链接表面展示内容完全不同的操作。例如，一个链接可以告诉AI去搜索受害者邮箱里的一次性MFA验证码，将这个验证码嵌入一个图片URL中，并将其附加到响应内容里。受害者看到的只是一个微软品牌的搜索页面，而Copilot则在背后悄悄执行被注入的指令 。

Varonis将这种技术称为参数到提示注入，而这正是其早前针对Copilot个人版的Reprompt攻击中的核心机制 。

第二阶段：绕过安全净化器的竞态条件

当Copilot生成包含HTML标记（如<img>标签）的输出时，一个服务器端的安全净化器本应将输出内容包裹在代码块中，这样浏览器就会将其视为无害的纯文本。问题出在哪里？这个包裹操作是在内容完全生成之后才发生的 。

然而，浏览器在接收到流式响应时会立即开始渲染。所以，攻击者注入的<img>标签一旦在数据流中出现，其图片请求便会立即发出——这一切都发生在净化器运行之前。等到代码块包裹生效时，图片URL的请求早已发出，而编码在URL路径中的数据也已经从受害者的浏览器中溜走了 。

这是一个典型的竞态条件漏洞，但在AI生成内容的背景下被变得极具杀伤力。一个传统的防御机制，并没有为AI输出本身可能被攻击者控制的全新世界而重新设计。

第三阶段：通过CSP白名单的必应端点外传数据

即使前两个阶段都能实现，最后还有一道关卡：m365.cloud.microsoft域名的内容安全策略会阻止向任意外部服务器加载图片。但是，*.bing.com在白名单中 。

必应的“图片搜索”功能允许服务端获取一个URL。在SearchLeak攻击中，攻击者将窃取的数据附加为图片搜索路径的一部分（例如

https://www.bing.com/images/search?q=/Your_Security_Code_847291/img.png

攻击者只需要监控自己图片服务器上的日志，而必应的服务器已经被诱导去访问了那个地址。

“一键点击”的欺骗性简单

整个攻击链是自动执行的。受害者点击一个链接，Copilot搜索他们自己的数据，输出流式传输到浏览器，一个<img>标签被触发，必应服务器获取了攻击者的URL，数据便已被外传。所有这一切都在用户浏览器完成页面渲染前发生。

这种攻击极难检测，原因在于：

• 链接位于受信任的微软域名上，规避了URL扫描器和信誉检查 。
• 没有触发任何认证对话框或二次点击——直接利用了受害者现有的登录会话。
• 所有出站请求都指向了白名单内的微软基础设施。

能够被窃取的数据并非理论上的。研究人员重点提到了那些在几分钟内仍然有效的一次性MFA验证码和密码重置链接，以及Copilot索引的日历详情和敏感文档 。

严重性之惑：定为“严重”，评分几何？

CVE-2026-42824引发了一场关于严重性评分的短暂争论。微软将其内部最高严重性标签定为Critical（严重），但给出的CVSS v3.1基础评分却是6.5（Medium，中等）。其理由是：攻击需要用户交互（即一次点击），这降低了评分 。

一些消息来源报告称，美国国家漏洞数据库给出了7.5（High，高危）的评分 。然而，实际上，包括科技媒体TNW在内的多方审查指出，微软的CSAF记录和NVD条目所反映的向量是一模一样的，基础分均为6.5 。之所以会有更高分数的印象，可能源于独立分析师基于更广泛的假定影响进行的重新计算，或是对早期报道的沿用。

抛开分数不谈，共识是明确的：一次点击就能让组织最敏感的数据暴露无遗。

一脉相承的Copilot漏洞

SearchLeak并非凭空出现。它加入到了另外两个里程碑式的AI数据窃取漏洞发现之列：

• EchoLeak（CVE-2025-32711） —— 2025年6月。这是Aim Security发现的一个零点击漏洞，利用了一份被Copilot自动处理的文档中的提示注入。完全不需要任何用户交互，CVSS评分高达9.3 。
• Reprompt —— 2026年1月。Varonis展示了消费者级的Copilot个人版如何被同样的P2P注入技术劫持。无需恶意软件、无需插件，只需一个精心构造的URL 。

共同的脉络是“提示注入”，这种威胁将AI的核心能力——遵循指令——变成了攻击面。每一次后续的漏洞都表明，修补一个攻击面（消费者版与企业版）或增加护栏（文档处理与搜索查询）并不能消除整个风险类别，它只会重新引导攻击者的创造力 。

租户管理员现在应该做什么

SearchLeak本身已经被修复，不需要客户采取任何措施。但这项技术并不会就此消失，安全团队应该将这次的经验教训付诸实践。

监控Copilot搜索URL。 q参数仍然暴露在外。留意代理日志中流经的Copilot企业搜索URL里是否出现编码后的HTML、类似脚本的载荷或异常长的指令字符串 。

警惕发往必应图片端点的异常出站请求。 如果有用户突然向*.bing.com发起大量包含异常图片搜索路径的请求——尤其是那些模式类似编码或窃取数据的路径——应立即触发警报 。

限制Copilot的索引范围。 实践最小权限的数据治理。限制Copilot可以索引的SharePoint站点、OneDrive文件夹和邮箱，这样即使未来再有漏洞被利用，其破坏范围也会小得多。定期审计和缩减Copilot的Microsoft Graph权限 。

SearchLeak的披露故事不是关于一次简单的修修补补，而是对“提示注入”与经典Web漏洞之间不断演进交叉点的警告。随着企业不断采用能深度访问其数据的AI副驾驶，那种将AI输出视为可信内容的安全模型必须被重新审视。下一个攻击链不会使用同样的三个漏洞——但几乎肯定会沿用同样的模式。