Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SearchLeak to scenariusz ataku ujawniony w kontekście Microsoft 365 Copilot Search, w którym pojedyncze kliknięcie spreparowanego odnośnika mogło doprowadzić do niejawnego ujawnienia danych dostępnych dla ofiary. Problem wpisuje się w rosnącą kategorię zagrożeń związanych z pośrednim prompt injection w systemach AI zintegrowanych z zasobami przedsiębiorstwa.
W tego typu środowisku model językowy nie działa wyłącznie na treści wpisanej przez użytkownika, ale może także przeszukiwać i przetwarzać dane organizacyjne. To sprawia, że błędy na styku interfejsu, logiki promptów, warstwy renderowania i systemów uprawnień mogą prowadzić do realnej eksfiltracji informacji.
W skrócie
Badacze opisali podatność nazwaną SearchLeak, która pozwalała na wykradanie danych z Microsoft 365 Copilot po otwarciu specjalnie przygotowanego linku. Atak wykorzystywał parametr zapytania w adresie Copilot Search do dostarczenia złośliwej instrukcji interpretowanej przez system jako polecenie operacyjne.
Potencjalnym celem mogły być wiadomości e-mail, notatki ze spotkań, pliki OneDrive, dokumenty SharePoint oraz inne informacje biznesowe, do których użytkownik miał legalny dostęp. Luka została załatana przez Microsoft i oznaczona jako CVE-2026-42824.
Kontekst / historia
SearchLeak nie jest klasyczną podatnością pamięciową ani prostym błędem po stronie przeglądarki. To przykład luki wynikającej z połączenia kilku warstw działania nowoczesnej platformy AI: wejściowych parametrów linku, przetwarzania promptów, dostępu do danych organizacyjnych oraz sposobu prezentowania odpowiedzi.
Opisany wektor ataku należy do mniej znanego podzbioru indirect prompt injection, określanego jako parameter-to-prompt injection. Oznacza to, że złośliwa instrukcja nie musi znajdować się w dokumencie ani być wpisana ręcznie przez użytkownika. Wystarczy, że zostanie przemycona w parametrze adresu URL, który następnie zostanie potraktowany przez asystenta AI jako właściwe zapytanie.
Analiza techniczna
Mechanizm ataku składał się z kilku etapów. Najpierw napastnik przygotowywał odnośnik prowadzący do Microsoft 365 Copilot Search z odpowiednio spreparowanym parametrem q. Taki link mógł zostać dostarczony ofierze przez e-mail, komunikator firmowy lub inny kanał komunikacji.
Po kliknięciu Copilot interpretował zawartość parametru jako zapytanie i wykonywał instrukcje odnoszące się do danych dostępnych z kontekstu użytkownika. Złośliwy prompt mógł nakazać wyszukanie konkretnej wiadomości, wydobycie fragmentu treści, tytułu, kodu MFA, linku resetowania hasła albo innych poufnych danych, a następnie przygotowanie ich do przekazania dalej.
Kluczowym elementem obejścia zabezpieczeń było wykorzystanie osadzonego znacznika obrazu w konstrukcji związanej z funkcją wyszukiwania obrazem. Według opisu badaczy umożliwiało to wykorzystanie warunków wyścigu oraz faktu, że część operacji była wykonywana po stronie infrastruktury usług wyszukiwania, a nie bezpośrednio w przeglądarce użytkownika.
To ważny detal architektoniczny. Jeżeli system AI jednocześnie przyjmuje dane wejściowe z zewnątrz, odczytuje dane wewnętrzne, przetwarza je według instrukcji modelu i renderuje wynik zawierający aktywne elementy, granice zaufania zaczynają się zacierać. SearchLeak pokazał, że same mechanizmy ochronne nie zawsze wystarczają, jeśli można je ominąć przez nieoczywiste połączenie legalnych funkcji platformy.
Konsekwencje / ryzyko
Ryzyko związane z SearchLeak było szczególnie poważne dla organizacji intensywnie korzystających z Microsoft 365 Copilot i przechowujących w tym ekosystemie dużą ilość informacji poufnych. Potencjalny zakres wycieku mógł obejmować szeroki katalog danych biznesowych.
- korespondencję e-mail,
- notatki i ustalenia ze spotkań,
- dokumenty SharePoint,
- pliki OneDrive,
- inne dane indeksowane i dostępne z poziomu Copilot.
Najgroźniejszy aspekt polegał na niskim progu interakcji. Użytkownik nie musiał pobierać pliku, uruchamiać makra ani wykonywać szeregu podejrzanych działań. Wystarczyć mogło samo kliknięcie odnośnika otwierającego usługę Copilot z ukrytą instrukcją.
Z perspektywy bezpieczeństwa przedsiębiorstwa jest to sygnał, że asystenci AI z dostępem do danych korporacyjnych stają się pełnoprawnym elementem powierzchni ataku. Wszędzie tam, gdzie model ma możliwość odczytu informacji i generowania odpowiedzi wpływających na dalszy przepływ danych, rośnie ryzyko prompt injection, eksfiltracji oraz obchodzenia granic zaufania.
Rekomendacje
Organizacje powinny traktować platformy AI z podobną ostrożnością jak systemy pocztowe, usługi tożsamościowe i krytyczne aplikacje SaaS. Ochrona nie powinna ograniczać się wyłącznie do aktualizacji producenta.
- Ograniczyć nadmiarowe uprawnienia do SharePoint, OneDrive i skrzynek pocztowych, aby zmniejszyć możliwy zakres wycieku.
- Przeprowadzić przegląd ekspozycji danych dla Copilot i ustalić, które repozytoria są indeksowane.
- Wdrożyć klasyfikację oraz segmentację informacji, szczególnie dla danych wrażliwych i uprzywilejowanych.
- Monitorować nietypowe wzorce użycia narzędzi AI, w tym podejrzane zapytania i niestandardowy dostęp do dokumentów.
- Analizować linki prowadzące do usług AI w poczcie i komunikatorach, zwłaszcza jeśli zawierają rozbudowane parametry wejściowe.
- Zadbać o separację instrukcji od danych, sanityzację wyników i ograniczanie aktywnej treści w odpowiedziach.
- Upewnić się, że środowisko korzysta z aktualnych mechanizmów ochronnych oraz śledzić komunikaty producenta.
- Szkolić użytkowników, że nawet link do zaufanej usługi wewnętrznej może stanowić nośnik ataku.
Podsumowanie
SearchLeak to istotny przykład nowoczesnej podatności w systemach GenAI dla przedsiębiorstw. Nie opierał się na tradycyjnym exploicie technicznym, lecz na nadużyciu logiki łączącej prompt, dane organizacyjne i mechanizmy renderowania odpowiedzi.
Dla zespołów cyberbezpieczeństwa wniosek jest jasny: rozwiązania AI należy traktować jako krytyczny składnik powierzchni ataku. Skuteczna ochrona wymaga nie tylko filtrowania promptów, ale również kontroli uprawnień, izolacji danych, monitorowania przepływów i twardych zasad bezpieczeństwa architektury.
Źródła
- https://www.darkreading.com/application-security/copilot-searchleak-attack-1-click-data-theft
- https://www.varonis.com/blog/searchleak
- https://msrc.microsoft.com/