注入持续泄露 Copilot:2026 年 6 月两个新 CVE
2026 年 6 月 9 日的补丁星期二发布了 CVE-2026-42824 与 CVE-2026-47644——Copilot 表面上的两个注入类信息泄露漏洞,延续了自 EchoLeak 以来的数据外泄脉络。
这是什么?
微软 2026 年 6 月 9 日的补丁星期二——据 Cisco Talos 是一次创纪录的发布,共 206 个 CVE,其中 32 个为严重级别——在 Copilot 表面上包含了一个虽小却很有代表性的集群。三个条目共享同一类根本性弱点:对特殊元素的不当中和(注入)。其一,CVE-2026-45497,是导致代码执行的命令注入漏洞,我们已另行报道。另外两个是本文的主题:
- CVE-2026-42824——Microsoft 365 Copilot 中的命令注入,可“允许未经授权的攻击者通过网络泄露信息”。
- CVE-2026-47644——Copilot Chat(Microsoft Edge)中对下游组件所用输出中特殊元素的不当中和(注入),同样可导致通过网络的信息泄露。
两者均于 2026 年 6 月 4 日披露,据 MSRC,均已在服务器端修复,用户无需采取任何操作。微软一如其云端公告的惯例,公布了 CWE 类别、影响与攻击向量,但不披露利用机制。我们不会用虚构的细节去填补这一空白。
工作原理
公告确实告诉我们的,是模式——而模式正是关键所在。两个漏洞都是注入弱点,其收益是信息泄露,而非代码执行。这与一年前的 CVE-2025-32711“EchoLeak” 形态相同,也与本站记录的 Copilot 外泄链条形态相同——参见我们的 CoPirate 365 Copilot 链 与 Copilot Studio 中的 ShareLeak。
AI 助手持续产生这一类 CVE 的结构性原因在于:一次 Copilot 请求会在同一上下文中混合可信指令(系统提示、用户)与不可信内容(文档、邮件、网页、工具输出),而模型的输出随后被下游组件消费——浏览器渲染器、连接器、链接展开器、markdown/HTML 接收点。如果该输出中的特殊元素在下游组件动作之前未被中和,那么在该回合中检索到的、由攻击者控制的内容就可以左右“读取什么”以及“发送到何处”。CWE“注入”类别正是“不可信数据越过了本不应越过的边界”的标签。CVE-2026-47644 在 Edge 中点名一个下游组件,恰好契合这一解读。
这里不复现任何载荷,也无需任何载荷即可理解其教训:在 LLM 助手中,模型的输出对于其后运行的任何环节而言都是不可信的输入。
为何重要
三点启示。第一,信息泄露——而非代码执行——仍是 Copilot 的主导失效模式。 本月抢占头条的是代码执行(45497),但三个注入 CVE 中有两个泄露数据——这与自 EchoLeak 以来的每一起 Copilot 事件一致。如果你只针对代码执行为 Copilot 建模威胁,那你防御的是更罕见的情形。
第二,“已修复、无需操作”不等于“无事可做”。 服务器端修复关闭了微软所发现的那个具体实例;它们并未消除该弱点类别,也不会为下一个变体给你任何检测覆盖。该类别如今已反复出现到足以被当作长期风险来对待,而非一系列孤立个案。
第三,数量信号。 一次 206 个 CVE 的补丁星期二,且这一激增被广泛归因于 AI 辅助的漏洞发现,意味着 AI 表面相关公告的节奏正在加快。Copilot 如今已是每月漏洞情报中的固定条目,应当作为固定项加以跟踪。
防御
微软掌握云端修复;你的职责是周边的影响半径与下一个变体。
- 把模型输出视为下游的不可信输入。 凡 Copilot 输出馈入渲染器、连接器或自动化之处,都应实施上下文相关的输出编码与针对接收点(HTML、URL、命令)的中和。这正是这些 CVE 所描述的、被缺失的控制。
- 约束外泄路径。 大多数 Copilot 数据泄露链以一次出站请求收尾——图片加载、链接、连接器调用。限制并监控助手上下文的出站流量;在可行处禁止在已渲染响应中自动加载远程内容。
- 最小化接地(grounding)面。 将 Copilot 的连接器与文档访问限制到最小权限。单回合内可触及的敏感数据越少,注入能泄露的就越少。
- 监控泄露,而不仅是执行。 对源自 Copilot 的异常出站请求,以及异常的跨租户或跨连接器读取发出告警。泄露类漏洞天生安静。
- 按常规节奏修补并跟踪 AI 表面。 把 M365 Copilot、Copilot Chat 与 Edge 纳入你每月的 MSRC 审查。“无需操作”的公告同样属于清单。
状态
| CVE | 组件 | 类别 | 影响 | 披露 | 状态 |
|---|---|---|---|---|---|
| CVE-2026-42824 | Microsoft 365 Copilot | 命令注入 | 信息泄露(网络) | 2026-06-04 | 服务器端已修复 |
| CVE-2026-47644 | Copilot Chat(Edge) | 输出注入 | 信息泄露(网络) | 2026-06-04 | 服务器端已修复 |
| CVE-2026-45497 | Microsoft 365 Copilot | 命令注入 | RCE(作用域变更) | 2026-06-04 | 服务器端已修复 |
| CVE-2025-32711(EchoLeak) | Microsoft 365 Copilot | 注入 | 信息泄露 | 2025 | 服务器端已修复 |
正确的定性不是“又两个 Copilot 漏洞”。而是:由注入驱动的信息泄露,是混合可信与不可信内容的 LLM 助手的一种结构性、反复出现的属性,每月的修复关闭的是一个实例,而非整个类别。内化这一点的防御者,会在本月公告淡出视野很久之后,依然保留其出站监控与输出处理控制。
Sources
- → https://blog.talosintelligence.com/microsoft-patch-tuesday-for-june-2026-snort-rules-and-prominent-vulnerabilities/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47644
- → https://thewindowsupdate.com/2026/06/04/cve-2026-42824-m365-copilot-information-disclosure-vulnerability/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711