漏洞概述:一次搜索操作即可盗走2FA代码
微软Copilot近日被曝出一个高危漏洞(编号暂未公布),攻击者可通过精心构造的恶意网页或邮件,诱导用户触发Copilot的搜索功能,从而在用户毫不知情的情况下窃取其浏览器中缓存的2FA验证码。该漏洞由安全研究员Thomas Webb发现,并命名为“SearchLeak”。
具体来说,Copilot的“搜索+问答”模式允许它调用用户浏览器中的敏感数据,包括登录凭据、身份验证令牌等。Webb发现,当用户访问一个嵌有恶意iframe的网站时,Copilot会误将该网站的内容视为可信来源,并执行其内部的JavaScript指令——这些指令正是用于窃取2FA验证码的攻击载荷。
“这相当于你在银行柜台输入密码时,旁边突然伸出一只机械手,把你的动态验证码抄走了。”——安全研究员Thomas Webb在报告中如此描述。
为什么说这是LLM安全的系统性失败?
大语言模型(LLM)的安全机制主要依赖“提示注入防护”——即通过正则表达式、内容过滤等方式拦截可能包含恶意指令的用户输入。然而,SearchLeak绕过了这些传统防御:它利用的是LLM在“搜索上下文”中自动信任的浏览器数据,而不是直接攻击模型本身。
编者按:提示注入防御本质上是“猫鼠游戏”。当模型被允许访问操作系统(如Chrome的API、文件系统、网络请求)时,任何专注于语言层面的安全策略都注定失效。Copilot、Claude Code等AI助手正在被赋予越来越多的系统权限,但安全厂商仍未建立“权限最小化”的架构——例如,2FA验证码这类元数据为什么会被AI助手直接获取?这是设计上的根本缺陷。
类似漏洞在2024年的“DAN”攻击(让AI突破限制)、2025年的“代理越狱”事件中已反复出现。行业习惯于在发生安全事件后打补丁,而非重新思考AI助手的权限模型。
影响范围与修复建议
该漏洞影响所有启用Copilot并登录微软账户的Edge和Chrome用户。攻击者可以窃取任何支持2FA的网站(如Gmail、银行、企业VPN)的短时验证码。微软在收到报告后48小时内推送了紧急更新,通过限制Copilot对浏览器缓存中认证令牌的访问来修复此问题。但研究人员警告,这只是一个临时解决方案,类似攻击可能在其他AI工具(如Google Gemini、ChatGPT的联网搜索功能)中重现。
用户可立即采取以下措施:1)禁用不必要的AI插件权限;2)在浏览器设置中限制AI助手对密码管理器或身份验证令牌的访问;3)考虑使用硬件安全密钥(FIDO U2F)替代短信或APP生成的2FA码。
结语:LLM安全需要“设计安全”而非“打补丁”
每一次AI助手被曝出系统级漏洞,都是对行业“先发布后修”思路的叩问。当模型既可以理解人类语言,又可以控制操作系统时,传统的Web安全与AI安全之间的鸿沟正在成为攻击者的乐园。SearchLeak表明,如果不能从架构上隔离AI助手与敏感数据,我们可能永远都在追逐下一个漏洞的路上。
本文编译自Ars Technica
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接