【AI复盘】Copilot三阶段提示注入漏洞链
2026年6月,Varonis披露了Microsoft 365 Copilot的一个高危漏洞链——攻击者只需在合法Copilot URL的q参数中嵌入恶意指令,诱导用户点击一次链接,即可在用户无感知的情况下窃取其所有Copilot可访问的企业数据(邮件、会议记录、文档、2FA验证码),并通过图片URL外传。
这不是一个普通的「代码bug」,而是LLM固有特性导致的系统性问题——AI无法区分「用户指令」和「第三方内容中的恶意指令」。这次漏洞标志着AI安全从「理论风险」正式进入「实战可利用」阶段。
对企业而言,这带来了三个核心警示:传统安全技术无法解决AI指令边界问题;提示注入将成为AI部署的头号威胁(门槛极低,任何会写Prompt的人都能发动攻击);以及「AI就绪」绝不等于「AI安全就绪」——在AI部署之前做完安全评估,而不是「先上线再补漏洞」,这是每家企业都应该尽快建立的基本认知。
SearchLeak只是一个开始。2026年下半年,会有更多AI实战化漏洞被披露。企业安全团队,现在就得动起来了。