Дыра в Copilot крала коды 2FA одним кликом

Критическая уязвимость в Microsoft 365 Copilot позволяла незаметно украсть письма, записи календаря, файлы из SharePoint и OneDrive и даже коды двухфакторной аутентификации из аккаунта жертвы — всё это одним кликом по ссылке. Исследователи из Varonis Threat Labs, которые нашли дыру и назвали её SearchLeak, показали, что украденные данные могут покинуть почтовый ящик без каких-либо действий пользователя, кроме этого единственного клика. Microsoft уже устранила баг на своей стороне под идентификатором CVE-2026-42824 и присвоила ему максимальную критичность, так что пользователю ничего ставить не нужно.

Самое хитрое и тревожное — как это работало. SearchLeak связал одну специфичную для ИИ слабость с двумя классическими веб-багами. Корпоративный поиск Copilot берёт запрос прямо из параметра «q» в адресе ссылки и передаёт его модели как команду к исполнению — эту брешь исследователи называют parameter-to-prompt injection. Пока Copilot выдавал ответ потоком, присланный злоумышленником HTML, включая невидимый тег изображения, на мгновение отрисовывался на странице до того, как фильтр безопасности успевал его вырезать. Браузер послушно пытался загрузить эту картинку с сервера злоумышленника — и чувствительные данные уходили вместе с запросом. А поскольку вредоносная ссылка вела на настоящий домен Microsoft, выглядела она абсолютно надёжно.

Почему закрытый баг всё равно важен

Хотя именно эту дыру уже закрыли, она наглядно показывает проблему, об которую вся индустрия спотыкается снова и снова: подключая ИИ-ассистента к почте, файлам и календарю, вы заодно даёте новый способ его обмануть. Классическому фишингу нужно, чтобы вы ввели пароль на поддельной странице. Здесь не нужно было ничего — ни формы входа, ни явного тревожного сигнала, только клик по ссылке, которая вела на реальный адрес Microsoft. Старый совет «проверяйте опечатки и странные домены» бесполезен, когда опасная инструкция спрятана внутри обычной с виду ссылки и выполняется ИИ от вашего имени.

Картина шире

Prompt injection — подсовывание ИИ скрытых инструкций через контент, который он читает, — становится главной головной болью безопасности в эпоху ассистентов, и SearchLeak показывает, почему одними патчами это не лечится. Каждый новый коннектор, открывающий ИИ доступ к большему объёму ваших данных, расширяет зону поражения, если что-то проскользнёт. На мой взгляд, правильный рефлекс тот же, что у грамотных админов с правами доступа: считайте любой ИИ-инструмент с широким доступом к чтению ваших аккаунтов столь же широкой угрозой и давайте ему ровно то, что действительно нужно.