SearchLeak ukazuje, proč prompt injection v enterprise AI bolí víc než v chatu

Bezpečnostní výzkumníci z Varonis popsali zranitelnost SearchLeak v Microsoft 365 Copilot Enterprise Search, kterou Microsoft opravil jako CVE-2026-42824. Útok podle zveřejněných popisů kombinoval Parameter-to-Prompt injection, závod při renderování HTML a obcházení Content Security Policy přes infrastrukturu Bing image search.

Jeden odkaz stačil k dotazu nad firemními daty

Mechanika útoku byla nepříjemná právě tím, že využívala zamýšlenou sílu Copilotu. Oběť klikla na upravený odkaz a parametr dotazu se dostal do Copilotu jako instrukce. Copilot pak mohl prohledávat data, ke kterým měl uživatel přístup, včetně e-mailů, kalendáře, OneDrive a SharePointu.

Podle reportů šlo exfiltrovat citlivý obsah přes požadavky na obrázky, ještě než sanitizace výstupu stihla vše bezpečně zastavit. Microsoft problém opravil serverově před veřejným zveřejněním, takže administrátoři podle dostupných zpráv nemuseli nasazovat klientskou aktualizaci.

Copilot zdědil práva uživatele a tím i jeho riziko

U běžného chatbota je prompt injection často trapná, ale izolovaná. U Microsoft 365 Copilotu je stejná třída chyby vážnější, protože model sedí nad firemním indexem. Přístup k e-mailu, dokumentům a kalendáři je přesně důvod, proč je produkt užitečný. Zároveň je to důvod, proč se chyba rychle mění v incident.

Pro bezpečnostní týmy je lekce praktická: AI asistent připojený k datům musí mít stejný režim jako interní aplikace s vysokými oprávněními. Nestačí auditovat model. Je potřeba auditovat tok dat, renderování výstupu, oprávnění, logy a možnosti exfiltrace přes zdánlivě neškodné kanály.

Oprava jedné CVE neřeší třídu útoků

SearchLeak je opravený, ale podobné scénáře se budou vracet. Prompt injection se špatně filtruje blacklistem, protože škodlivý záměr lze přeformulovat. Když se k tomu přidá webová chyba nebo závod při renderování, LLM problém se okamžitě spojí s klasickou aplikační bezpečností.

Tohle je přesně místo, kde marketingová řeč o „asistentech“ škodí. Produkt se chová jako vrstva nad firemní pamětí, a proto musí mít obranu proti tomu, aby mu cizí text diktoval, co má z té paměti vytáhnout.

Rozhodující budou hranice oprávnění a únikové cesty

Sledovat se vyplatí, jestli Microsoft a další výrobci začnou u enterprise AI zveřejňovat detailnější bezpečnostní architekturu: jak oddělují instrukce od dat, jak testují prompt injection, jak omezují výstupní kanály a jak rychle umí vypnout rizikové integrace.

Druhý signál přijde od zákazníků. Pokud budou Copilot a podobné nástroje nasazovat bez samostatného threat modelu, další incident nebude překvapení. Bude to účet za pohodlí.

Lilithin verdikt

Copilot s přístupem do e-mailu je jako stážista s univerzální kartou od kanceláře. Může být šikovný, ale dveře se mají otevírat podle pravidel, ne podle věty v cizím odkazu.