SearchLeak 漏洞：一个 M365 Copilot 链接如何窃取你的企业数据

三层递进的致命攻击链条

SearchLeak 之所以极度危险，并非源自单一的技术缺陷，而是其巧妙地串起了三个原本单独看几乎无害的小漏洞，编织出了一条完整的、难以被传统安全软件检测的数据窃取通路 。

第一步：参数转提示词注入（P2P）——暗藏指令的网址参数

攻击的切入点极其隐蔽。与许多 AI 助手类似，Copilot 企业版搜索允许通过网址（URL）中的 q 查询参数直接传递自然语言搜索词。然而，其致命弱点在于，系统直接将这一参数内容吞入系统提示词中，并作为可执行指令来解析。

Varonis 的研究人员精心构建了一段藏在 q 参数中的恶意指令，诱导 Copilot 去“阅读用户最近的邮件，提取其中的一次性验证码（OTP），总结邮件主题，并将结果嵌入到搜索查询中”。由于携带恶意指令的链接主机名确确实实就是 microsoft.com，传统的反网络钓鱼扫描器和网址过滤工具很难对其发出警报。这种被称为“参数转提示词注入（Parameter-to-Prompt Injection）”的手段，是目前专属于 AI 时代的新型漏洞类别 。

第二步：HTML 注入条件竞争——在护栏反应前“抢跑”

Copilot 在浏览器中呈现搜索结果时，对 AI 生成内容的过滤存在一个极其微小的安全空隙。攻击者在第一步注入的恶意提示词会诱导 Copilot 在返回给用户的搜索结果中，生成一张包含恶意 img 图片标签的 HTML 代码，该标签的 src 源地址指向攻击者控制的服务器。

这里涉及到一个经典的 “条件竞争（Race Condition）” 漏洞。浏览器为了快速渲染页面，会立即解析并试图加载这张图片（从而向攻击者服务器发起带有敏感数据的请求），而 Copilot 后端的安全防护模块审查并拦截异常输出的操作，慢了一步。简单来说，就在 AI 生成恶意输出和系统删除恶意输出这几乎发生在一瞬间的间隔里，数据就已经随着图片加载的请求泄露了出去 。

第三步：通过必应的 SSRF——藏在“自家管道”里的窃贼

数据外传的最后一步堪称神来之笔。为了避免企业的网络出口控制和数据防泄漏（DLP）系统的封堵，攻击者并没有直接让图片请求指向公网的黑客服务器。他们利用了一种名为服务器端请求伪造（SSRF）的技术，将图片的来源巧妙构造为微软自家的必应（Bing）图片搜索端点。

这样一来，浏览器实际发起的请求看起来是在请求 bing.com 这个完全受信任的内部微软域名。在企业的网络监控设备和网络安全策略看来，这只是流向受信 IP 的常规流量。而实际上，窃取到的敏感数据被精心编码在了这个看似无害的图片网址请求参数中，通过必应的内部管道路由后，最终被悄悄转发到了攻击者的接收端 。

哪些数据面临过直接风险

一旦该漏洞链被触发，Copilot 会完全继承受害者已登录的所有微软图表权限（Microsoft Graph）。研究人员证明，攻击者能够盗窃的数据范围相当广泛 ：

• 验证码与密码： 隐藏在邮件正文中的各类多因素认证码（MFA）和明文登陆凭据。
• 邮件内容： 完整的邮件主题及正文摘要。
• 日程隐私： 具体的日历会议时间、参加人和会议内容细节。
• 云端文件： SharePoint 站点和 OneDrive 中存储的文件摘要以及已被索引的内容。

理论上，任何 M365 Copilot 企业版搜索能够通过受害者账户权限接触到的企业数字资产，都有可能遭到无痕窃取。

漏洞定级与波及范围

美国国家漏洞数据库（NVD）将这一漏洞的根源定性为：“M365 Copilot 中未能妥善消除命令中的特殊元素（即‘命令注入’）” 。尽管技术描述听起来是常规漏洞，但各个机构对其严重性的评分出现了极大的分歧——这也正是 AI 漏洞与传统软件漏洞在评估标准上产生错位的典型缩影：

• 美国国家漏洞库（NVD）CVSS 3.1 评分： 6.5（中危），攻击向量为 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
• Tenable 公司的 CVSS v2 评分： 7.8（高危）
• 微软内部评级： 极高危（Critical）

尽管有些评级停留在“中危”，但考虑到任何 M365 Copilot 企业用户都可能成为攻击目标、攻击仅需一次微不足道的点击、且能够避开近乎所有的传统邮件和网络安全检测手段，该漏洞在真实世界中的实际危害风险是极高的。微软确认，已在服务器端完成修复，且在披露时未发现野外利用的证据 。

屡试不爽的模式：SearchLeak、Reprompt 与 EchoLeak

SearchLeak 并非孤立事件。在过去的一年中，类似的攻击手法已经两次得手，这勾勒出了一条令人不安的演化轨迹：

Reprompt (CVE-2026-24307) —— 2026 年 1 月

同样是 Varonis 威胁实验室发现的针对 Copilot 个人版 的一键式攻击。它同样滥用了网址 q 参数注入恶意指令，但创新性地使用了“双重请求”技术：研究人员发现 Copilot 的防泄漏保护机制只在处理第一次交互时生效，通过让 AI 对指令执行两次，就能轻易绕开防护，从而窃取用户的个人资料、云文件摘要和对话记忆。微软已在 2026 年 1 月的补丁星期二修复 。

EchoLeak (CVE-2025-32711) —— 2025 年 6 月

由 Aim Security 发现的针对 M365 Copilot 企业版 的 零点击 漏洞攻击。更让人心惊胆战的是，受害者甚至不需要点击链接。攻击者发送一封嵌入了隐藏 Markdown 图片标签的诱导性邮件，当 Copilot 在后台自动处理扫描该邮件内容时，就会毫无征兆地被引导将数据外传。这证明了，即便是完全被动的 AI 内容处理行为，也足以被武器化 。

SearchLeak (CVE-2026-42824) —— 2026 年 6 月

作为最新的变种，它融合了前两者的特点，并引入了经典 Web 安全漏洞（HTML 注入、SSRF），通过劫持必应服务来完美规避数据防泄漏（DLP）监控，成为了针对企业环境极其精巧的窃密通道 。

三者交汇的本质规律： 上述所有攻击之所以都能成功，根本原因在于大语言模型（LLM）助手的底层设计逻辑中有一个难以解决的“先天信任”——它们习惯将用户提供的一切内容（URL 参数、邮件正文、搜索指令）都视为具有执行力的有效指令。而一旦这些助手产出答案，无论是浏览器还是邮件客户端往往会自动化地执行其中的某些指令（如加载图片、渲染链接）。这种机制为数据外传创造了一条天然的、不可靠的输出侧信道。微软目前采取的是“打地鼠”式的修补策略，逐一封堵漏洞，但只要这种盲目信任用户输入的设计架构不做出根本性变化，提示词注入加输出侧信道的安全攻击就还将卷土重来 。