AI 生成的结构化厂商动态简报
Varonis发现微软365 Copilot企业版存在SearchLeak漏洞链(CVE-2026-42824),利用参数到提示词注入(P2P注入)、HTML渲染竞态条件及借助Bing服务的SSRF绕过CSP。攻击者通过恶意URL诱导用户点击,Copilot将敏感数据嵌入图片URL并通过必应外传,绕过传统安全防护。微软已发布补丁。
