M365 Copilot SearchLeak 漏洞已修复：企业 AI 仍卡在提示注入边界

微软已在 2026 年 6 月补丁中修复 M365 Copilot 的一个最高危漏洞。补丁发布后，安全公司 Varonis 披露了概念验证攻击 SearchLeak：它可以让 Copilot 从用户有权访问的企业内容里找出 2FA 验证码、邮件标题等敏感信息，并把结果带出环境。

这里最反常的一点是，受害者不需要自己输入任何提示词。只要点击一个带恶意查询参数的 Microsoft 365 搜索链接，攻击链就可能被触发。

这不是 Copilot 主动突破权限。它仍然只能访问该用户本来有权看的内容。问题在于，当 AI 助手接入邮件、会议、SharePoint、OneDrive 之后，“用户能看什么”会变成“谁能诱导 AI 把这些东西说出去”。

SearchLeak 发生了什么：点击链接，Copilot 代用户找数据

Varonis 披露的攻击目标是 M365 Copilot 企业环境。攻击者构造一个带恶意查询参数的搜索链接，诱导目标点击。

链接里的参数会把指令塞进搜索请求。Copilot 在处理时，可能把这些内容当成任务的一部分，而不是外部输入。

这就是提示注入的老问题：恶意指令不一定来自用户输入框，也可能藏在 URL、网页、邮件、文档或搜索结果里。

SearchLeak 的关键边界可以这样看：

对企业安全负责人来说，危险不在“AI 有了管理员权限”。材料没有显示这一点。

危险在更日常的地方：很多员工本来就能看到大量内部信息。AI 把这些信息找得更快，也可能在被诱导时泄露得更快。

绕过点在哪里：HTML 时间差和 Bing 跳板

Copilot 原本有护栏。比如，危险 HTML 输出会被包进 code 块，浏览器只按文本显示；向不受信任网站发请求也会被限制。

SearchLeak 利用的是响应流里的时间差。Varonis 发现，Copilot 在生成响应的早期，会短暂渲染原始 HTML。浏览器看到 img 标签后，可能已经发起请求。等内容被包进 code 块，请求已经出去了。

另一个关键点是 Bing。

由于 Copilot 的内容安全策略允许访问微软域名，攻击链把 Bing 图片搜索当跳板，再把请求转向攻击者控制的域名。也就是说，问题不只在模型本身，还在浏览器渲染、内容安全策略、搜索服务和响应流之间的缝隙。

这和过去几年邮件摘要机器人、网页阅读插件、客服 LLM 遇到的提示注入问题同源。模型很擅长理解文字，但不稳定地区分“这是要执行的命令”还是“这是第三方内容里的文本”。

传统企业搜索和企业 AI 搜索的差别，也在这里被放大了：

所以，黑名单、输出过滤、域名白名单都有用，但很难一劳永逸。攻击者找的不是正门，而是各个系统拼接处的边角。

管理员该怎么做：补丁要打，接入范围也要重看

对 M365 Copilot 管理员来说，第一件事仍然是确认 2026 年 6 月相关补丁和服务端修复状态。SearchLeak 利用的具体漏洞，微软已经修复。

但补丁只能处理这条已知路径。底层的提示注入边界问题，还没有被彻底解决。

更现实的动作，是把 Copilot 当成一个高效率的数据读取者来管，而不是只当聊天工具来管。

企业可以优先检查几件事：

• 哪些邮箱、会议记录、SharePoint 站点、OneDrive 文件会进入 Copilot 可访问范围。
• 2FA 验证码、合同、客户名单、内部报告等内容，是否需要更细的权限分层。
• 外部链接点击策略是否覆盖 Microsoft 365 搜索链接和带参数 URL。
• 高敏部门是否需要延后扩大 Copilot 接入，等到权限、审计、外发控制更清楚后再放开。
• 响应渲染阶段能否限制自动触发网络请求，避免类似临时 HTML 渲染的时间差。

这里最受影响的是两类人。

一类是已经部署 M365 Copilot 的企业安全团队。他们不能只问“员工能不能用”，还要问“Copilot 能替员工看见多少、整理多少、带出多少”。

另一类是正在评估企业 AI 的 CIO 或管理员。采购不一定要停，但高敏数据范围大的组织，应该把权限清理和索引治理放到上线前，而不是上线后补课。

目前能看清的是：微软修掉了 SearchLeak 这条具体攻击链。还看不清的是，企业 AI 产品什么时候能给出更硬的执行边界，比如哪些内容只能摘要不能外发，哪些外链请求必须二次确认，哪些响应在渲染完成前不能触网。

这才是接下来要盯的变量。不是厂商又加了几句安全提示，而是它能不能把模型、浏览器、搜索、权限和外发控制之间的缝补上。