文章总结： 微软Copilot被曝出高危漏洞CVE-2026-42824（SearchLeak），攻击者通过恶意链接诱骗用户点击后，可利用AI对自然语言指令的轻信自动搜索并外传邮件、验证码等敏感数据。该漏洞影响Microsoft365Copilot企业版，微软已发布补丁并建议企业及时更新系统，同时对不明链接保持警惕。 综合评分： 82 文章分类： 漏洞分析,AI安全,云安全,数据安全,威胁情报

【安全圈】微软 Copilot 被曝高危漏洞：点击一个链接，验证码、邮件全泄露

安全圈

2026年6月18日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

微软 Copilot AI 刚刚被曝出一个 “关键”级安全漏洞，攻击者只需诱骗你点一个链接，就能窃取你的 2FA 验证码、邮件内容、会议详情等敏感数据。

这个漏洞编号 CVE-2026-42824，由网络安全公司 Varonis Threat Labs 发现，研究员将其命名为 SearchLeak。

它怎么运作的？

这是一个三阶段攻击链：

1. 攻击者把恶意参数嵌入一个看起来正常的 URL
2. 你点了这个链接，Copilot 的 AI 引擎把 URL 内容解读为搜索指令
3. Copilot 自动执行”搜索用户邮件”等操作，把敏感信息嵌入图片 URL，通过 Bing 外传

重点来了：

传统漏洞靠的是系统缺陷，而 SearchLeak 直接利用的是 AI 对自然语言指令的”轻信”——绕过了常规安全检测。 影响范围有多大？

该漏洞影响 Microsoft 365 Copilot 企业版，意味着攻击者能获取企业内部几乎所有已索引的内容：

• 邮件

• SharePoint 文档

• OneDrive 文件

• 2FA 验证码

• 会议邀请

目前情况： 微软已发布补丁，官方表示暂无证据显示有黑客实际利用该漏洞发起攻击。

建议：

• 企业 IT 管理员尽快确认 Copilot 已更新到最新版本
• 对来历不明的链接保持警惕，尤其是包含可疑参数的 URL
• 敏感操作（如 2FA）尽量不依赖邮件验证码
• AI 越来越强，但被利用的风险也在同步升级

END

阅读推荐

【安全圈】紧急预警！哪吒监控面板曝 9.1 分高危漏洞，仅需 2 次请求即可免密接管！

【安全圈】ClickFix 活动通过新加载器和虚假更新诱饵扩大恶意软件投递

【安全圈】Google Vertex AI SDK 漏洞允许攻击者通过存储桶抢占劫持模型上传

【安全圈】高德地图崩了！！！

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软 Copilot 被曝高危漏洞：点击一个链接，验证码、邮件全泄露》