微软Copilot SearchLeak漏洞：一次点击即可通过LLM窃取所有企业已索引数据

SearchLeak漏洞的本质是LLM作为企业数据新入口，彻底重构了攻击面。传统安全模型假设数据泄露通过邮件附件、恶意链接或Web漏洞发生，而Copilot将LLM变成了一个企业级数据索引与检索代理，攻击者只需一次点击即可通过可信服务间信任链（Copilot→Bing→微软域名）窃取数据。这暴露了微软在AI代理安全架构上的致命短板：

• LLM对URL的语义解读：Copilot将URL视为搜索指令而非链接，意味着所有基于URL分类的安全策略（如Web过滤、DLP）均失效。攻击者不再需要用户点击恶意链接，而是让Copilot自动执行数据外传。
• 跨服务信任的SSRF绕过：利用Bing作为跳板，数据外传流量被伪装成合法Bing请求，传统网络检测无法识别。这类似于SolarWinds供应链攻击的信任滥用，但攻击成本更低、范围更广。
• 索引数据的全面暴露：漏洞影响所有已索引内容，包括邮件、SharePoint、OneDrive。这意味着企业一旦启用Copilot，其数据索引范围即为攻击面。微软未提供数据索引粒度控制（如限制Copilot只能访问特定租户或站点），导致攻击面失控。
• 修复的透明度缺失：微软仅发布补丁但未公开技术细节，企业无法验证修复是否彻底。考虑到LLM的随机性，类似的P2P注入漏洞可能在其他场景重现（如Teams Copilot、Bing Chat）。企业需假设该漏洞的变种将持续存在，因为LLM的输入-输出映射本质上是不可预测的。
• Defender TOCTOU漏洞的连锁风险：CVE-2026-50656允许攻击者获取SYSTEM权限，这意味着攻击者可完全控制Defender引擎，进一步掩盖SearchLeak的检测痕迹。两个漏洞的组合可形成从数据窃取到权限提升的完整攻击链。