微軟 Copilot「SearchLeak」漏洞：一個連結就能竊走 MFA 驗證碼和企業電子郵件

Microsoft 365 Copilot 中存在一個漏洞，攻擊者只需傳送一個惡意連結，就能從企業受害者處竊取完整的電子郵件串、財務文件，乃至即時的多因素驗證碼（MFA code）。這個漏洞由 Varonis Threat Labs 發現，編號 CVE-2026-42824，通用漏洞評分（CVSS）高達 9.1，屬於「嚴重」等級。

6 月 15 日 Varonis 公開披露前，微軟已在 6 月 9 日的 Patch Tuesday 中完成修補，因此大多數企業目前已受到保護。儘管如此，這起事件重新點燃了業界對一個根本問題的討論：當 AI 助理獲得深入、持續的企業資料存取權，傳統資安模型是否已不敷使用？

SearchLeak 如何運作

Varonis 研究人員將這條攻擊鏈命名為「SearchLeak」，因為它武器化了 Microsoft Copilot 的核心功能——跨整個 Microsoft 365 環境（包含電子郵件、Teams、SharePoint 和 OneDrive）搜尋和彙整資料——並將其轉化為資料外洩管道。

攻擊分三個連續階段展開，每個階段各利用 M365 生態系的不同元件：

第一階段：初始傳送。 攻擊者透過電子郵件、Teams 訊息或 SharePoint 文件分發惡意連結。當已認證的 M365 使用者在登入 Copilot 的狀態下點擊連結，攻擊鏈即自動觸發。整個過程無需釣魚竊取憑證——使用者自己的合法工作階段就是攻擊向量。

第二階段：參數到提示詞注入（P2P Injection）。 精心構造的 URL 參數觸發了對 Copilot 端點的背景請求。攻擊者控制的 URL 中藏有隱性指令，被系統解析為搜尋指令，讓 Copilot 代替攻擊者執行查詢。這種提示詞注入的特殊之處在於不需要直接與 Copilot 的聊天介面互動——注入透過 URL 結構悄然發生。

第三階段：透過 SSRF 形成外洩迴圈。 Bing 圖片搜尋端點存在一個伺服器端請求偽造（SSRF）漏洞，加上 Copilot 顯示搜尋結果時的 HTML 渲染競態條件，讓系統誤以為正在將資料傳送給授權的第三方服務，實際上卻是把企業資料串流傳輸到攻擊者控制的端點。

這三個階段的組合之所以危險，正是因為每個單一元件本身的影響都不大——P2P 注入單獨無法外洩資料，SSRF 單獨需要額外的注入手段，HTML 渲染競態條件單獨只是個顯示小 bug。三者的特定序列組合，才創造出了一鍵竊取企業資料的能力。

可以竊取哪些資料

Varonis 的概念驗證（PoC）成功提取了以下內容：

• 完整電子郵件串（含附件），且受害者完全無感知
• 財務文件和內部策略文件（儲存於 SharePoint 或 OneDrive）
• 密碼重設連結（在受害者點擊前即被截取，可用於帳號接管）
• Microsoft Authenticator 應用程式中的即時 MFA 驗證碼，實質上完全繞過了第二驗證因素

MFA 驗證碼的竊取最令人警惕。這意味著攻擊者若透過任何其他手段取得使用者的主要密碼（釣魚、憑證填充、既有資料外洩等），只需一個 SearchLeak 連結就能即時截取 MFA 驗證碼，無需任何額外的社交工程步驟，即可完成完整的帳號接管。

AI 助理為何擴大攻擊面

SearchLeak 不是典型的 SQL 注入或緩衝區溢位漏洞，它利用的是 AI 助理擁有廣泛組織資料存取權這個根本性的架構特性——而那正是產品的核心價值主張，也正因如此，成功的提示詞注入才如此危險。

傳統的企業搜尋工具只會將文件索引後回傳給查詢者。AI 助理則更進一步：它跨越組織邊界讀取、詮釋並彙整內容，充當企業資料的單一、特權的「情境窗口」。一旦攻擊者能向這個情境窗口注入指令，就等於以受害者的存取等級在企業資料中自由馳騁。

Varonis 首席研究員 Andrei Florin Buzoianu 指出，注入並非透過聊天介面發生，而是透過 URL 參數——一個大多數企業資安團隊在 AI 資安審查中從未考慮過的攻擊向量。「大多數組織已想到聊天窗口中可能有惡意提示詞，但幾乎沒有人考慮過 URL 本身也是一種提示詞輸入。」

修補現況與緩解措施

微軟已在 6 月 9 日的 Patch Tuesday 中部署修補程式。由於 M365 Copilot 是雲端交付的服務，核心伺服器端修補已透明地推送，企業 IT 團隊無需對個別端點手動更新。

修補內容包括：修改 Copilot 處理自訂協議連結的方式、對所有連結執行白名單驗證、在 URL 結構中移除潛在有害參數。微軟也在 Defender for Cloud Apps 和 Defender for Office 365 中更新了偵測規則，可標記與 SearchLeak 模式相符的可疑 Copilot 搜尋行為。

建議企業審查修補前（6 月 9 日前）的 Azure Active Directory 日誌，確認是否有異常的 Copilot 活動。微軟同步發布了更新版 AI 安全儀表板（AI Security Dashboard），提供針對整個租戶的 Copilot 資料存取模式可視性。

更大的格局

SearchLeak 並非孤立事件。自 Microsoft 365 Copilot 在 2023 年底正式上市以來，安全研究人員已發現一類反覆出現的漏洞模式：AI 助理的廣泛資料存取能力，被傳統攻擊技術用作放大器。Tenable 在 2025 年的報告中記錄了 M365 Copilot 的十四種提示詞注入場景；SearchLeak 是這個威脅模型的精進，而非例外。

這個模式反映了企業 AI 部署中的根本張力：最有能力的 AI 助理，恰恰因為擁有廣泛、持續的組織資料存取權而有用，但這種存取權同時讓它成為外洩攻擊的高價值目標。傳統的資料外洩防護（DLP）工具設計用來攔截透過已知管道外洩的資料——電子郵件附件、USB 隨身碟、雲端上傳。能夠自主查詢和彙整資料的 AI 助理，並不符合這些模型的假設。

業界分析師預期，SearchLeak 事件將加速企業採用 AI 專屬的零信任架構：AI 助理只被授予特定任務所需的最低資料存取權，且每次請求都需經過驗證，而非持有對整個組織資料庫的持久廣泛存取。

對目前的企業 IT 而言，立即行動的建議很簡單：套用 2026 年 6 月的累積更新、審查 Copilot 存取日誌中的異常行為，並以對待特權身份管理帳號的同等嚴謹態度，看待企業 AI 助理的資料存取範圍。AI 助理不只是生產力工具，它同時也是一份資料存取憑證。