微软Copilot AI漏洞可致敏感数据泄露,企业用户需及时更新
来源:互联网
时间:2026-07-04 21:50:30
近日,一项针对微软Copilot人工智能助手的高危安全漏洞被公开披露。该漏洞可能被攻击者利用,窃取用户的二次验证码、电子邮件主题、会议详情等敏感信息,对企业数据安全构成潜在威胁。网络安全研究人员强调,这一漏洞主要影响Microsoft 365 Copilot的企业版用户。

该漏洞由网络安全公司Varonis Threat Labs的研究人员发现,并被命名为“SearchLeak”。其核心问题在于,
攻击者可以构造一个包含恶意参数的合法URL链接
漏洞运作机制与潜在风险
研究人员详细解释了漏洞的运作链条。在用户触发恶意链接后,Copilot会将检索到的敏感数据,包括
2FA验证码、邮件主题、会议邀请乃至OneDrive文件内容
与以往依赖操作系统或软件底层漏洞的攻击方式不同,SearchLeak漏洞巧妙地利用了AI对自然语言指令的“轻信”特性。它绕过了传统的安全检测机制,直接诱导AI执行非预期的数据检索和泄露操作。这意味着,在企业环境中,
任何已被Copilot索引的内容,如电子邮件、SharePoint文档和OneDrive文件,都可能面临泄露风险
微软回应与用户应对建议
针对此次曝光的漏洞,微软方面已经做出了回应。该公司表示,相关的安全补丁已经发布,并强烈建议所有用户及时更新其系统。微软同时指出,截至目前,
没有证据表明已有黑客在野外实际利用此漏洞发起攻击
对于使用Microsoft 365 Copilot的企业和组织而言,确保所有相关软件和服务更新至最新版本是首要任务。IT管理员应检查并确认补丁已成功部署。此外,提高员工对可疑链接的警惕性,加强常规的网络安全意识培训,也是防范此类社会工程学与AI特性结合攻击的有效手段。