文章总结： 文档详细解析了Microsoft365CopilotEnterprise的SearchLeak漏洞链（CVE-2026-42824），该漏洞结合参数转提示注入、HTML渲染竞态条件和BingSSRF绕过CSP三大环节，实现一键窃取用户邮箱、日历及云盘等敏感数据。漏洞危害性高且隐蔽性强，仅需用户点击官方域名链接即可触发。微软已发布修复补丁，建议企业及时更新并加强AI输入输出安全校验，用户需警惕异常链接。 综合评分： 92 文章分类： 漏洞分析,AI安全,WEB安全,威胁情报,解决方案

2.5 完整攻击流程

1. 攻击者通过邮件、Teams、Slack、即时通讯等任意渠道向受害者发送构造好的链接
2. 受害者点击链接，打开微软官方域名下的 Copilot 搜索页面
3. Copilot 将 URL 中q参数的内容识别为指令，自动检索受害者的邮箱等私有数据
4. Copilot 生成包含<img>标签的响应，窃取的数据被嵌入图片 URL 中
5. 流式渲染过程中，浏览器触发图片请求，向 Bing 接口发起访问
6. Bing 后端向攻击者服务器发起请求，请求路径中携带窃取的敏感数据
7. 攻击者服务器记录请求，完成数据窃取，典型日志如：GET /Your_Security_Code_847291/img.png

三、影响评估

3.1 影响范围

• 受影响产品：Microsoft 365 Copilot Enterprise（企业版）
• 覆盖用户：部署了 M365 Copilot 企业版的组织内所有授权用户
• 触发条件：用户点击一次恶意构造的官方域名链接，无需额外授权、无需安装插件

3.2 泄露数据类型

由于 Copilot Enterprise 直接继承用户的全部 Microsoft Graph 权限，攻击者可获取受害者权限内的所有可索引企业数据，核心风险如下：

| 数据类别 | 具体泄露内容 | 风险等级 | | — | — | — | | 邮件敏感信息 | 邮件主题、正文内容、一次性验证码、密码重置链接、内部机密通信 | 极高 | | 身份认证凭证 | MFA/2FA 动态验证码，可用于绕过其他业务系统的二次认证 | 极高 | | 日程与会议信息 | 会议参会人员、会议议程、会议笔记、会议时间地点等行程信息 | 高 | | 企业核心文件 | SharePoint、OneDrive 中的财务报表、员工薪资、并购计划等机密文档 | 高 | | 通信元数据 | 内部人员往来关系、业务沟通时间线等敏感元信息 | 中 |

3.3 攻击核心特点

1. 隐蔽性极强：攻击链接指向microsoft.com官方域名，传统反钓鱼、URL 防护工具难以识别和拦截
2. 攻击门槛极低：攻击者无需任何企业内部权限，仅需构造 URL 并诱导一次点击即可完成攻击
3. 用户无感知：攻击过程仅表现为 Copilot 短暂的 “思考” 状态，最终页面仅显示异常文本，用户难以察觉数据已泄露
4. 企业级波及面：攻击可覆盖组织内所有授权用户的业务数据，若 M365 对接了更多业务系统，影响范围会进一步扩大

四、防护建议

微软已针对该漏洞发布安全修复（对应 CVE-2026-42824），结合 Varonis 的安全研究建议，分角色给出防护方案：

4.1 企业安全团队

1. 补丁与版本确认：确认租户已应用微软针对 CVE-2026-42824 的安全修复，保持 M365 Copilot 组件为最新版本
2. 异常 URL 监控：监控访问 Copilot Search 页面的请求，重点检测q参数中是否包含 HTML 标签、“将数据嵌入图片 URL” 类指令等异常编码内容
3. CSP 白名单审计：全面梳理业务域名的 CSP 白名单，排查所有支持用户传入 URL 并发起服务端请求的域名，封堵潜在的数据外带通道
4. AI 输出加固：AI 组件的内容安全校验需前置到渲染阶段，而非作为后处理步骤执行；对流式输出的内容必须在渲染前完成安全 sanitization
5. AI 输入校验：对所有传入 AI 模型的外部参数（URL 参数、第三方文档、邮件内容）进行指令检测，过滤疑似注入的恶意指令

4.2 终端用户

1. 链接核验习惯：点击指向微软 365 服务的链接前，检查 URL 是否存在异常的长编码参数，避免点击来源不明的链接
2. 异常行为上报：若发现 Copilot 在未主动发起搜索的情况下自动检索邮箱、文件等内容，及时向企业安全团队上报
3. 安全意识提升：即使是官方域名的链接也可能被用于恶意攻击，需提高对 AI 相关钓鱼攻击的认知

五、IOC 汇总

以下是可用于检测和监控 SearchLeak 攻击的指标。由于该攻击利用的是合法微软服务，传统 IOC（如恶意 IP、文件哈希）的适用性有限，因此本节同时包含攻击指标和检测指标。

| 类型 | 指标 / 签名 | 说明 | | — | — | — | | 恶意 URL 模式 | https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q= | 攻击入口 URL，q 参数包含注入的提示词 | | SSRF 通道 | https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl= | Bing 以图搜图端点被利用作为数据外泄代理 | | HTML 标签特征 | | AI 响应中包含指向 Bing 图片搜索的图片标签 | | 参数特征 | q 参数中包含编码的 HTML 或指令性内容 | 如包含 “search for email”、”img”、”bing.com” 等关键字组合 | | 检测规则 | 监控 Copilot Search URL 中异常的 q 参数长度或编码模式 | 正常的搜索查询不会包含复杂的编码 HTML 结构 |

#

六、总结

SearchLeak 漏洞是 AI 安全领域的标志性案例：它既不是单纯的新型 AI 提示注入，也不是孤立的传统 Web 漏洞，而是通过 AI 原生的参数注入攻击面，将原本难以触达的经典漏洞串联起来，形成了高危害的一键数据窃取攻击链。

该漏洞揭示了企业 AI 应用落地的核心安全挑战：AI 功能在扩展业务能力的同时，也为传统安全漏洞提供了新的利用路径。随着 AI 助手成为企业生产力的核心组件，这类 “新旧风险叠加” 的漏洞链将成为企业安全的重要威胁方向。安全团队需要同时关注 AI 原生安全与传统基础安全的叠加效应，建立覆盖 AI 全链路的安全防护体系。

七、参考来源

• https://www.varonis.com/blog/searchleak

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《一键即破防：M365 Copilot “SearchLeak” 漏洞链全解析（CVE-2026-42824）》