6月18日，科技媒体Ars Technica报道，微软的Copilot被爆出存在一个关键级别的漏洞，该漏洞编号为CVE-2026-42824，由网络安全公司Varonis Threat Labs发现。研究员Dolev Taler将此漏洞命名为SearchLeak，指出这是一个三阶段的漏洞链。攻击者可以通过嵌入恶意参数到合法URL中，诱使用户点击链接，从而利用Copilot的AI引擎执行搜索指令，如“搜索用户邮件”等操作。Copilot会将敏感数据嵌入图片URL，并通过必应外传，包括2FA验证码、邮件主题、会议邀请和OneDrive文件内容。

该漏洞影响Microsoft 365 Copilot企业版，意味着攻击者能够获取企业内部任何已索引的内容，如邮件、SharePoint文档和OneDrive文件。微软已经针对这一漏洞发布了补丁，并表示目前没有证据显示有黑客实际利用这一漏洞发起攻击。攻击者利用AI对自然语言指令的“轻信”绕过常规检测，这与以往依赖系统漏洞的攻击方式有所不同。