Varonis Threat Labs 把 SearchLeak 公開後,Microsoft 365 Copilot 的企業風險又多了一個清楚輪廓。這不是「聊天機器人可能亂說話」那種老問題,而是 Copilot Enterprise Search 一旦承接使用者在 Microsoft 365 裡的搜尋權限,就可能把郵件、會議、SharePoint、OneDrive 這些原本被權限系統包住的內容,帶進瀏覽器輸出、內容安全政策與伺服器端轉送的交界處。Microsoft 已經修補這個漏洞,Varonis 也把它對應到 CVE-2026-42824;真正值得留下來看的,是企業 AI 搜尋到底該怎麼被重新設計。
SearchLeak 的危險感來自它不靠單一新奇魔法,而是把幾個已知弱點串成一條新路徑。Varonis 描述的鏈條包括 parameter-to-prompt injection,也就是把 URL 參數變成 AI 會執行的指令;接著是串流輸出過程中的 HTML 渲染時序問題;最後再透過被允許的 Bing 影像搜尋路徑繞過瀏覽器端限制。分開看,每一段都像資安團隊見過的老朋友,合在一起卻變成 AI 搜尋時代的新外洩面。因為模型不只回覆,它會查使用者有權看的資料,再把結果組成輸出。
這件事最麻煩的地方,是連結看起來可以非常「企業」。Dark Reading 的交叉報導也抓到同一個重點:攻擊入口不是陌生執行檔,也不是要求使用者下載工具,而是一個開啟 Microsoft 365 Copilot Search 的連結。使用者只要在某個通道點進去,背後的查詢參數就可能被 Copilot 當作任務理解。對傳統防線來說,這種路徑很尷尬,因為網址可能屬於可信網域,資料存取也發生在使用者原本就有權限的 Microsoft 365 圖譜裡。問題不是沒有權限,而是權限被 AI 搜尋拿去做了使用者沒有真正要求的事。
所以 SearchLeak 跟最近另一類 agent 安全事件不太一樣。AutoJack 這類研究提醒企業,本機工具橋、localhost 與瀏覽器 agent 之間不能再靠預設信任;SearchLeak 則把焦點拉回雲端辦公室裡的資料權限。前者問的是 agent 能不能被誘導去碰本機工具,後者問的是企業搜尋能不能被誘導去讀出使用者有權讀的內容。兩者合在一起看,AI 產品的攻擊面正在從「模型回答」外擴到整條工作路徑:輸入從哪裡來、模型如何解讀、資料從哪裡查、輸出何時渲染、哪些網域被 allowlist、哪些伺服器會代替瀏覽器去取資源。
對企業採購 Copilot 類產品的人來說,這是一個很實際的轉向。過去導入 AI 辦公室工具,重點常放在文件摘要、會議整理、郵件草稿、搜尋效率和授權費。SearchLeak 之後,安全審查不能只問資料是否仍留在租戶內,也不能只問模型訓練有沒有使用企業資料。更細的問題會浮上來:自然語言搜尋參數會不會被當成指令?串流輸出是否在渲染前就完成清洗?CSP allowlist 裡有沒有能替外部 URL 做伺服器端請求的服務?Copilot 類工具能不能被限制只回傳摘要而不把敏感片段放進可外送的路徑?稽核紀錄能不能看見這些自動搜尋與輸出行為?
這也說明,AI 安全正在變成資料治理與應用安全的交叉題。傳統資料治理會處理誰能看什麼檔案,應用安全會處理瀏覽器、CSP、SSRF、輸出清洗;但 AI 搜尋把兩邊接在一起。模型的「幫你找」其實是一個有權限的資料代理,而串流介面的「邊想邊顯示」又把前端安全時序拉進來。當助理越貼近日常工作,企業越不能把它當成一個漂亮入口,而要把它當成一個新的資料存取層。
微妙的是,SearchLeak 被修掉之後,它的價值反而更像一張檢查表。它提醒企業別只等下一個 CVE,也別把「已修補」理解成風險結束。Copilot、agent、AI 搜尋、RAG 介面、內部知識庫問答,都會面對類似問題:只要系統能根據使用者權限查資料,再把結果交給模型組裝輸出,就必須同時管住 prompt、權限、渲染、外連、稽核和異常行為。AI 讓搜尋變聰明,也讓搜尋第一次變得像一個會行動的安全主體。
SearchLeak 的教訓不是企業不能用 Copilot,而是不能再用搜尋框的心態管理 Copilot。搜尋框只是把結果列出來,AI 搜尋則會把結果理解、改寫、嵌入、串流和轉送。當這些動作發生在企業資料邊界裡,資安團隊要看的就不只是「誰查了什麼」,而是「系統替誰理解了什麼、怎麼輸出、輸出途中經過哪些服務」。這會讓企業 AI 的落地慢一點,但也會讓它更像可以長期運行的基礎設施,而不是一個永遠停在展示桌上的聰明功能。
參考來源
- Varonis Threat Labs|SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon — https://www.varonis.com/blog/searchleak
- Dark Reading|Copilot 'SearchLeak' Attack Allows 1-Click Data Theft — https://www.darkreading.com/application-security/copilot-searchleak-attack-1-click-data-theft
- The Hacker News|One-Click Microsoft 365 Copilot Flaw Could Have Let Attackers Steal Emails, Files, and MFA Codes — https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
- TechRadar Pro|Microsoft 365 Copilot can be turned into a one-click data theft tool — https://www.techradar.com/pro/security/microsoft-365-copilot-can-be-turned-into-a-one-click-data-theft-tool-inbox-onedrive-and-sharepoint-data-all-at-risk-so-patch-now