微软 Copilot 高危漏洞 CVE-2026-42824:可泄露验证码、邮件等敏感数据
阅读原文· ithome.com网络安全公司 Varonis 发现微软 Copilot 存在关键漏洞 SearchLeak(CVE-2026-42824)。该漏洞为三阶段攻击链,攻击者将恶意参数嵌入合法 URL,用户点击后 Copilot 的 AI 引擎将其解读为搜索指令,进而将 2FA 验证码、邮件主题、会议详情等敏感数据嵌入图片 URL 通过必应外传。漏洞影响 Microsoft 365 Copilot 企业版,攻击者可获取企业内部任何已索引内容。微软已发布补丁,目前无证据表明已被利用。
IT之家 6 月 18 日消息,科技媒体 Ars Technica 于 6 月 16 日发布博文,报道称微软 Copilot 存在“关键”(critical)级漏洞,攻击者可获取用户包括 2FA 验证码、邮件主题、会议详情等敏感数据。
该漏洞追踪编号为 CVE-2026-42824,由网络安全公司 Varonis Threat Labs 发现,研究员 Dolev Taler 将其命名为 SearchLeak。

IT之家援引博文介绍,Taler 指出 SearchLeak 属于三阶段漏洞链,攻击者将恶意参数嵌入合法 URL,在用户点击该链接后,Copilot 的 AI 引擎会将 URL 解读为搜索指令,并执行如“搜索用户邮件”等操作。
Copilot 随后将敏感数据(如 2FA 验证码、邮件主题、会议邀请、OneDrive 文件内容)嵌入图片 URL,并通过必应(Bing)外传。
Taler 指出,有别于以往依赖系统漏洞,攻击者直接利用 AI 对自然语言指令的“轻信”,绕过常规检测。
该漏洞影响 Microsoft 365 Copilot 企业版,意味着攻击者能获取企业内部任何已索引的内容:邮件、SharePoint 文档、OneDrive 文件。微软已经发布补丁,并表示目前没有证据表明有黑客实际利用漏洞发起攻击。
