SearchLeak pokazuje, dlaczego prompt injection w enterprise AI boli bardziej niż w czacie

Badacze Varonis opisali SearchLeak, łańcuch podatności w Microsoft 365 Copilot Enterprise Search, który Microsoft naprawił jako CVE-2026-42824. Publiczne opisy mówią o połączeniu Parameter-to-Prompt injection, wyścigu przy renderowaniu HTML oraz obejścia Content Security Policy przez infrastrukturę Bing image search.

Jeden link mógł uruchomić wyszukiwanie po firmowych danych

Atak był groźny właśnie dlatego, że wykorzystywał zamierzoną siłę Copilota. Ofiara klikała spreparowany link, a parametr zapytania trafiał do Copilota jako instrukcja. Copilot mógł potem przeszukiwać dane, do których użytkownik miał dostęp, w tym e-maile, kalendarz, OneDrive i SharePoint.

Według raportów wrażliwe treści dało się wynosić przez żądania obrazów, zanim sanityzacja odpowiedzi zdążyła wszystko zatrzymać. Microsoft naprawił problem po stronie serwera przed publicznym ujawnieniem, więc dostępne opisy mówią, że administratorzy nie musieli wdrażać aktualizacji klienta.

Copilot odziedziczył uprawnienia użytkownika, więc odziedziczył też ryzyko

W zwykłym chatbocie prompt injection bywa kompromitujące, ale ograniczone. W Microsoft 365 Copilot ta sama klasa błędu ma większą wagę, bo model siedzi nad firmowym indeksem. Dostęp do poczty, dokumentów i kalendarza jest dokładnie tym, co czyni produkt użytecznym. Jest też tym, co szybko zamienia błąd w incydent.

Dla zespołów bezpieczeństwa lekcja jest praktyczna: asystent AI podłączony do danych musi być traktowany jak wewnętrzna aplikacja z wysokimi uprawnieniami. Nie wystarczy audyt modelu. Trzeba audytować przepływ danych, renderowanie wyjścia, uprawnienia, logi i ścieżki exfiltracji przez kanały, które wyglądają niewinnie.

Załatanie jednej CVE nie usuwa całej klasy ataków

SearchLeak jest załatany, ale podobne scenariusze wrócą. Prompt injection źle poddaje się blacklistom, bo złośliwy zamiar można przepisać na setki sposobów. Gdy dojdzie do tego błąd webowy albo wyścig w renderowaniu, problem LLM natychmiast łączy się z klasycznym application security.

Właśnie tu słowo „asystent“ robi się mylące. Produkt działa jak warstwa nad firmową pamięcią, więc musi umieć bronić się przed tym, aby obcy tekst dyktował mu, co ma z tej pamięci wyciągnąć.

O wszystkim zdecydują granice uprawnień i drogi ucieczki danych

Warto obserwować, czy Microsoft i inni dostawcy enterprise AI zaczną publikować dokładniejszą architekturę bezpieczeństwa: jak oddzielają instrukcje od danych, jak testują prompt injection, jak ograniczają kanały wyjściowe i jak szybko potrafią wyłączyć ryzykowne integracje.

Drugi sygnał przyjdzie od klientów. Jeśli Copilot i podobne narzędzia będą wdrażane bez osobnego threat modelu, kolejny incydent nie będzie zaskoczeniem. Będzie rachunkiem za wygodę.

Werdykt Lilith

Copilot z dostępem do poczty jest jak stażysta z kartą otwierającą całe biuro. Może być pomocny, ale drzwi mają działać według reguł, a nie według zdania w cudzym linku.