حملهٔ SearchLeak به مایکروسافت کوپایلت
خلاصهٔ کاملتر
به گزارش Varonis Threat Labs، یه حملهٔ تازه به مایکروسافت ۳۶۵ کوپایلت به اسم SearchLeak کشف شده که میتونست بیسروصدا فایلها و ایمیلهای کاربر — از یادداشت جلسهها تا فایلهای OneDrive و SharePoint — رو بدزده. این حمله یه زیرشاخهٔ کمترشناختهشده از تزریق پرامپت غیرمستقیمه که بهش parameter-to-prompt injection یا بهاختصار P2P میگن. به گفتهٔ نویسنده، مهاجم یه لینک کوپایلت رو از هر مسیری مثل ایمیل یا Slack برای قربانی میفرسته. این لینک صفحهٔ Microsoft 365 Copilot Search رو باز میکنه و هرچی توی پارامتر q باشه رو بهعنوان پرامپت قبول میکنه. مهاجم توی همین پارامتر یه دستور مخرب میذاره که به کوپایلت میگه دنبال یه ایمیل خاص (مثلاً کد ورود دومرحلهای) بگرده و محتواش رو داخل یه آدرس بذاره که اطلاعات رو به سرور خودش میفرسته. نکتهٔ جالب اینه که کوپایلت یه سری محافظ (guardrail) داره، ولی Varonis نشون داده مهاجم میتونه لینک سرور خودش رو داخل یه تگ تصویر پنهون کنه که پشت یه لینک «جستوجوی تصویری» Bing سوار شده. این کار دو تا دلیل جواب میده: اول اینکه تگ تصویر یه شرایط رقابتی (race condition) میسازه و پاسخ هوش مصنوعی قبل از اینکه مایکروسافت پرامپت رو پاکسازی کنه فعال میشه؛ دوم اینکه Bing خودش سمت سرور اون تصویر رو واکشی میکنه. به گفتهٔ Dolev Taler از Varonis، چون این واکشی از زیرساخت خود Bing انجام میشه نه مرورگر قربانی، سیاست امنیتی مرورگر (CSP) دیگه جلوش رو نمیگیره. Bing هم چون موتور جستوجوی خود مایکروسافته توی لیست سفیده و همین باعث میشه این ترفند جواب بده. با این حمله مهاجم میتونه موضوع و متن ایمیلها، کدهای امنیتی، لینکهای بازنشانی رمز، جزئیات جلسهها و فایلهای محرمانهٔ سازمانی رو به دست بیاره. مایکروسافت این آسیبپذیری رو با شناسهٔ CVE-2026-42824 و برچسب بحرانی وصله کرده (هرچند امتیاز CVSSش ۶.۵ اعلام شده) و میگه کاربر کار دیگهای لازم نیست بکنه. ولی به گفتهٔ Dor Yardeni از Varonis، این فقط یه باگ توی یه اپلیکیشن نیست؛ یه دستهٔ گستردهتر از ریسکها توی دستیارهای سازمانی مبتنی بر LLMه — هر سیستمی که ورودی بیرونی، دسترسی به دادهٔ داخلی و قابلیت اجرای کار رو توی یه جریان قاطی کنه، میتونه جوری مشابه سوءاستفاده بشه. نویسنده اشاره میکنه که مسئولیت اصلی اینجور مشکلها با خود پلتفرمه، چون این حملهها از مرزهای اعتماد و نحوهٔ رندر خروجی سوءاستفاده میکنن و باید با طراحی درست (مثل ایزولهسازی پرامپت، پاکسازی خروجی و اعمال CSP) جلوشون گرفته بشه. با این حال سازمانها هم نقش دارن: باید دسترسی غیرضروری به داده رو کم کنن و سیستمهای هوش مصنوعی رو بخشی از سطح حملهٔ خودشون ببینن، نه یه لایهٔ قابلاعتماد. نکات کلیدی:
- SearchLeak یه حملهٔ تزریق پرامپت غیرمستقیم (نوع P2P) روی مایکروسافت ۳۶۵ کوپایلت بود.
- مهاجم با یه لینک آلوده کوپایلت رو وادار میکرد دادههای حساس رو به سرور خودش بفرسته.
- ترفند دور زدن محافظها از واکشی سمتسرور Bing و یه شرایط رقابتی استفاده میکرد.
- مایکروسافت باگ رو با شناسهٔ CVE-2026-42824 وصله کرده و کاربر کاری لازم نیست بکنه.




