文章总结： SearchLeak是微软365CopilotEnterprise企业搜索功能中的关键漏洞链，结合参数到提示词注入、HTML渲染竞态条件和SSRF绕过CSP三类缺陷，实现一键窃取邮箱、会议、企业文件等敏感数据。攻击者通过构造恶意链接诱导点击，利用AI组件串联传统漏洞完成数据外泄。微软已修复漏洞并建议企业监控异常URL、审计CSP白名单、强化流式输出净化机制。 综合评分： 85 文章分类： 漏洞分析,AI安全,WEB安全,应用安全,云安全

完整攻击链路 一次点击即可完成数据窃取

#

把三个环节整合起来，完整的攻击过程门槛极低，只需要受害者完成一次点击操作。攻击者首先构造好包含完整注入指令的 Copilot 搜索链接，通过邮件、Teams、即时通讯软件等任意渠道发送给受害者。

受害者点击链接后，会正常打开微软官方域名下的 Copilot 企业搜索页面，q 参数中的指令会被 Copilot 直接执行，自动检索受害者有权访问的邮箱、日历、SharePoint 以及 OneDrive 中的内容。

Copilot 按照指令生成带<img>标签的响应内容，将窃取到的信息拼接在图片 URL 中，通过流式输出渲染到页面。浏览器在防护机制生效前就解析<img>标签，向 Bing 的以图搜图接口发起请求。

Bing 服务端接收到请求后，向攻击者的服务器发起图片拉取请求，敏感数据就随着 URL 路径一同记录到攻击者的服务器日志中。整个过程受害者只会看到 Copilot 短暂的加载状态，最终页面上的内容可能看起来有些异常，但此时数据早已完成外泄。攻击者不需要获取任何特殊权限，也不需要诱导受害者安装插件或者进行二次操作，攻击链路全程依托微软官方域名，传统的反钓鱼和 URL 防护工具很难识别拦截。

SearchLeak 最值得关注的价值，在于它是传统安全漏洞与 AI 新型攻击面结合的典型样本。其中通过 Bing 实现的 SSRF、HTML 注入的竞态条件绕过，都是已经存在十多年的经典安全问题，同类的净化时序绕过手法也早有大量公开研究。

单独来看每一个问题的利用门槛都很高，在常规场景下很难造成严重危害。

但 P2P 注入这个 AI 特有的漏洞，给这些传统缺陷创造了触发条件。没有 P2P 注入，攻击者就无法让 Copilot 生成可控的 HTML 内容。

没有竞态条件，生成的 HTML 会被防护机制直接无害化。没有 SSRF 通道，浏览器的 CSP 会阻断最终的数据外泄。

三者缺一不可，而 AI 组件正是串联起整条链路的核心。这也代表了 AI 安全研究的一个重要方向，很多时候风险并非来自全新的 Prompt 注入手法本身，而是 AI 应用给大量原本难以利用的传统漏洞，提供了新的触发路径。

AI 安全防护不能只关注模型本身的对齐与防护，同样需要重新审视整个应用链路里的传统安全风险。

微软已经完成了该漏洞的修复，对于部署了 Microsoft 365 Copilot Enterprise 的企业，安全团队可以从以下几个方向强化防护：

监控异常的 Copilot 搜索 URL，重点排查 q 参数中包含 HTML 标签或者嵌入数据到图片 URL 指令的编码 payload

梳理内容安全策略的白名单域名，任何支持用户传入 URL 并发起服务端请求的白名单域名，都可能成为数据外泄的通道，需要定期审计

将 AI 的流式输出内容视为不可信内容，HTML 净化逻辑需要在渲染阶段同步执行，不能作为后置处理步骤

对于普通用户来说，也可以通过两个习惯降低风险：

点击指向微软 365 服务的链接前留意 URL 参数，带有冗长编码参数的链接需要谨慎对待

如果发现 Copilot 在没有主动发起查询的情况下自动检索邮件等内容，及时向企业安全团队反馈异常

往期：

别乱安装壁纸! Wallpaper Engine创意工坊恶意壁纸可用于攻击

灯泡里的赛博图书馆：把重要文件藏进日常照明里

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《SearchLeak漏洞:微软365 Copilot如何沦为一键数据窃取工具》