# 微软 Copilot 高危漏洞 CVE-2026-42824：可泄露验证码、邮件等敏感数据

- 来源：IT之家（RSS）
- 发布时间：2026-06-18 09:11
- AIHOT 分数：54
- AIHOT 链接：https://aihot.virxact.com/items/cmqit4gtq040usl5wf141qb24
- 原文链接：https://www.ithome.com/0/965/747.htm

## AI 摘要

网络安全公司 Varonis 发现微软 Copilot 存在关键漏洞 SearchLeak（CVE-2026-42824）。该漏洞为三阶段攻击链，攻击者将恶意参数嵌入合法 URL，用户点击后 Copilot 的 AI 引擎将其解读为搜索指令，进而将 2FA 验证码、邮件主题、会议详情等敏感数据嵌入图片 URL 通过必应外传。漏洞影响 Microsoft 365 Copilot 企业版，攻击者可获取企业内部任何已索引内容。微软已发布补丁，目前无证据表明已被利用。

## 正文

IT之家 6 月 18 日消息，科技媒体 Ars Technica 于 6 月 16 日发布博文，报道称微软 Copilot 存在“关键”（critical）级漏洞，攻击者可获取用户包括 2FA 验证码、邮件主题、会议详情等敏感数据。

该漏洞追踪编号为 CVE-2026-42824，由网络安全公司 Varonis Threat Labs 发现，研究员 Dolev Taler 将其命名为 SearchLeak。

IT之家援引博文介绍，Taler 指出 SearchLeak 属于三阶段漏洞链，攻击者将恶意参数嵌入合法 URL，在用户点击该链接后，Copilot 的 AI 引擎会将 URL 解读为搜索指令，并执行如“搜索用户邮件”等操作。

Copilot 随后将敏感数据（如 2FA 验证码、邮件主题、会议邀请、OneDrive 文件内容）嵌入图片 URL，并通过必应（Bing）外传。

Taler 指出，有别于以往依赖系统漏洞，攻击者直接利用 AI 对自然语言指令的“轻信”，绕过常规检测。

该漏洞影响 Microsoft 365 Copilot 企业版，意味着攻击者能获取企业内部任何已索引的内容：邮件、SharePoint 文档、OneDrive 文件。微软已经发布补丁，并表示目前没有证据表明有黑客实际利用漏洞发起攻击。
