IT之家6月18日消息，科技媒体ArsTechnica于6月16日发布博文，报道称微软Copilot存在“关键”（critical）级漏洞，攻击者可获取用户包括2FA验证码、邮件主题、会议详情等敏感数据。

该漏洞追踪编号为CVE-2026-42824，由网络安全公司VaronisThreatLabs发现，研究员DolevTaler将其命名为SearchLeak。

IT之家援引博文介绍，Taler指出SearchLeak属于三阶段漏洞链，攻击者将恶意参数嵌入合法URL，在用户点击该链接后，Copilot的AI引擎会将URL解读为搜索指令，并执行如“搜索用户邮件”等操作。

Copilot随后将敏感数据（如2FA验证码、邮件主题、会议邀请、OneDrive文件内容）嵌入图片URL，并通过必应（Bing）外传。

Taler指出，有别于以往依赖系统漏洞，攻击者直接利用AI对自然语言指令的“轻信”，绕过常规检测。

该漏洞影响Microsoft365Copilot企业版，意味着攻击者能获取企业内部任何已索引的内容：邮件、SharePoint文档、OneDrive文件。微软已经发布补丁，并表示目前没有证据表明有黑客实际利用漏洞发起攻击。