M365 Copilot 一键泄露、1230 个密钥藏在 AI 指令文件里:AI 代理接手明文之后,风险开始变形
本期聚焦三条 AI 安全信号:Microsoft 365 Copilot SearchLeak 可借企业搜索外带敏感数据;Mitiga 披露 AI 指令文件中的 prompt 外泄、基础 URL 劫持和 1230+ 密钥/JWT;Unit 42 的注册表级研究显示 agent skill 供应链已经出现规模化多阶段攻击链。文章后半段从这些事件过渡到荆华密算密态推理的架构价值。
今天的 AI 安全风险有一个很清晰的共同点:攻击者不再只盯着模型本身,而是盯着 AI 代理已经拿到的明文上下文、企业搜索结果、API Key、MCP 配置和执行权限。
Microsoft 365 Copilot 的 SearchLeak 漏洞链可以让受害者点开一个看似正常的 Copilot Search 链接后,把邮箱、会议、OneDrive、SharePoint 文件,甚至 MFA 验证码带到攻击者服务器;Mitiga 同一天披露,AI 指令文件里已经出现野外 prompt exfiltration、Claude 基础 URL 劫持和 1,230 多个硬编码 API Key/JWT;Unit 42 的注册表级扫描则把问题放大到 49,943 个 AI agent skill 样本,其中 2,490 个带有多阶段攻击链。123
今日速览:攻击面从「问模型」变成「借模型拿数据」
| 事件 | 暴露的入口 | 对企业的直接影响 |
|---|---|---|
| Microsoft 365 Copilot SearchLeak | Copilot Search 链接里的 q 参数与间接提示注入 | 已修复;研究方称可一键外带邮件、会议、企业文件和 MFA 码。4 |
| Mitiga Skillgate | Cursor rules、Claude Hooks、AGENTS.md、CLAUDE.md、MCP 配置等 AI 指令文件 | 50,000+ 文件、7,000+ 公共仓库扫描中发现 prompt 外泄、基础 URL 劫持和 1,230+ 密钥/JWT 暴露。2 |
| Unit 42 BIV 研究 | OpenClaw agent-skill 注册表 | 49,943 个 skill 中,80.0% 存在声明行为与实际行为不一致;18.9% 已分类偏差被判为对抗性意图。3 |
| LiteLLM 跟进 | AI gateway 与代理权限边界 | The Hacker News 披露三处 LiteLLM 缺陷可让低权限用户取得管理员权限并执行代码,暴露 AI keys、secrets、prompts 和 responses。5 |
这不是四个孤立漏洞。它们落在同一条链上:AI 代理接收外部输入,把外部输入转成内部动作,再把内部数据渲染、搜索、转发或执行。
SearchLeak:一个 Copilot 链接就能穿过企业搜索边界
SearchLeak 的危险不在于「用户打开了恶意站点」,而在于链接本身指向 Microsoft 365 Copilot Search。Dark Reading 复述 Varonis 的攻击路径:攻击者把恶意提示词塞进 Copilot Search URL 的
q 参数,诱导 Copilot 搜索特定内部邮件或文件,再把结果拼进一个外部 URL。4更麻烦的一步是渲染绕过。研究人员把攻击者控制的地址藏进 Bing search-by-image 的图片 URL 里。Bing 后端会替用户去抓取图片地址,这个请求来自 Bing 基础设施,不受受害者浏览器的 CSP 限制;而 Bing 本身又处在 Microsoft 生态的信任路径里。4
Microsoft 已把该漏洞记为 CVE-2026-42824,并完成修复,Dark Reading 报道称用户无需额外动作。4 但这件事给企业留下的不是一个补丁清单,而是一个权限问题:Copilot 能搜到什么,攻击者就会想办法让 Copilot 替他搜什么。
指令文件正在变成 AI 时代的恶意脚本
Mitiga 的披露更贴近开发团队日常。它把风险对象列得很具体:Cursor rules、Anthropic Skills、Claude Hooks、AGENTS.md、CLAUDE.md、MCP server configs、
.cursorrules、aider 配置、Continue 配置,甚至藏在 agent 工具目录里的 .pyc 文件。2这些文件的问题在于,AI agent 会把它们当作可信上下文。Mitiga 披露了三类已经进入野外或高风险样本的手法:恶意指令文件要求 agent 把用户 prompt 发往攻击者端点;
ANTHROPIC_BASE_URL 被改到第三方主机,使 Claude 流量经过中间人;配置里预置 YOLO auto-approve,让 agent 在没有人工确认的情况下执行高风险动作。2这类攻击没有传统恶意软件的「落地文件」感。指令文件本身就是恶意载荷,agent 是执行器。对审计团队来说,难点也变了:不只要查依赖包,还要查自然语言说明、hook、MCP 端点、允许执行的命令和外部 URL。
Unit 42 的数字说明:这不是个别坏样本
如果说 Mitiga 披露的是野外案例,Unit 42 的 BIV 研究给出了规模感。它扫描 OpenClaw agent-skill 注册表早期 49,943 个 skill,发现 250,706 个行为偏差;80.0% 的 skill 至少有一处「声明行为」与「实际行为」不一致。3
多数偏差并非恶意。Unit 42 把 81.1% 归为开发者疏忽、文档错误或模板残留。但剩余 18.9% 被判为对抗性意图,其中最高优先级的 2,490 个 skill 带有多阶段攻击链;静默凭证外泄和指令覆盖劫持两类模式覆盖了 88% 的多阶段链。3
这组数字对企业的提醒很直接:AI skill、MCP 工具和 agent 配置,不能再按「文档」处理。它们应该进入代码审计、供应链准入和密钥扫描流程。
荆华密算视角:补丁能修漏洞,修不了明文前提
今天几条新闻都指向同一个底层前提:AI 代理为了完成任务,默认可以读取明文邮件、明文文件、明文 prompt、明文 API Key 和明文工具输出。SearchLeak 借 Copilot 的搜索能力拿内部数据;Skillgate 披露的恶意指令文件借 agent 的执行能力拿 prompt 和密钥;Unit 42 的多阶段链则把「读文件、编码、外发」连成可复用套路。
常规防护当然还要做。Copilot 需要补丁,agent skill 需要安装前扫描,MCP endpoint 需要白名单,硬编码密钥要轮换,YOLO 模式不能默认打开。但这些动作主要是在减少入口数量。只要推理和代理执行过程中仍存在可被读取、可被转发、可被日志记录的明文,攻击者就会继续找新的入口。
荆华密算的密态推理价值就在这里:让 AI 在加密状态下完成推理,明文数据不在任何可访问内存空间出现。它不是替代补丁管理,也不是替代权限治理;它解决的是另一层问题:即便上层应用、插件、指令文件或执行环境出现失误,攻击者也拿不到可直接利用的明文输入与推理中间态。
对企业客户,密态 AI 推理系统适合放在高敏数据进入模型前的关键位置:金融风控、医疗问答、政企知识库、客服质检、合规审查。对 C 端用户,全链路密态 AI 助手的目标更简单:让个人隐私、聊天上下文、文件摘要和搜索结果不以明文形式暴露给可访问环境。
今天的安全结论不复杂:AI agent 变得越能干,越要假设它接触的数据会被攻击者盯上。能少给权限就少给权限;必须给的数据,尽量不要以明文给。
このコンテンツについて、さらに観点や背景を補足しましょう。