微软Copilot曝致命漏洞，两步验证码随便偷

微软Copilot最近被安全研究人员挖出一个要命漏洞，代号“SearchLeak”。简单说，黑客能利用这个漏洞，通过精心设计的恶意查询，骗Copilot吐出用户的两步验证（2FA）码。这些验证码通常藏在邮件或聊天应用里，Copilot本来是为了方便用户搜索信息，结果反而成了泄密通道。 更可怕的是，攻击者根本不需要拿到你的手机或电脑。他们只需要利用Copilot跨平台搜索的能力——比如扫一遍你的Outlook、Teams甚至浏览器历史——就能实时把验证码抓出来，然后直接接管你的账号。这相当于把2FA这道安全门直接拆了。 微软已经承认问题并推送了补丁，限制Copilot访问敏感认证数据。但这事暴露了一个更深层的隐患：大模型在接入用户数据时，权限往往给得太宽，缺乏精细控制。安全专家建议，在更完善的保护措施出来之前，最好手动关掉Copilot对敏感邮件和文件夹的读取权限。 SearchLeak漏洞给所有人提了个醒：AI助手越来越深入日常办公，但它的安全性必须像传统软件一样严格对待。企业应该采用零信任原则，确保AI模型只拥有最低必要权限，同时明确保护敏感数据不被AI查询触及。