CVE-2026-35435:Azure AI Foundry 在 M365 中发布的智能体信任了本不该信任的调用方
2026 年 5 月 7 日公开(CVSS 8.6),Azure AI Foundry 的一个访问控制缺陷允许未授权攻击者通过 M365 已发布智能体提升权限。微软报告该漏洞已被野外利用;补丁发布前已提供缓解措施。
这是什么?
2026 年 5 月 7 日,微软披露了 CVE-2026-35435,这是 Azure AI Foundry 中影响 Microsoft 365 已发布智能体的特权提升漏洞。该漏洞评级为 CVSS 8.6(严重),归类为 CWE-284 —— 不当访问控制。根据微软公告及 Qualys、SecurityWeek 和 CybersecurityNews 的后续报道,本次披露与 2026 年 5 月星期二补丁同步发布,微软形容该问题已在野利用。截至披露之时,尚无完整补丁可用;微软改为发布了一套补偿性控制措施。
漏洞位于 Azure AI Foundry 向 Microsoft 365 发布的智能体的授权路径上。未授权的远程攻击者可绕过运行时的访问检查,从低权限角色提升到能够广泛控制智能体工作流、数据连接器以及智能体所连接资源的角色。
它如何工作
Azure AI Foundry 让企业可以构建由 LLM 驱动的智能体——搜索助手、工单分流、文档分析器——并将它们发布到 Microsoft 365 的各个表面(Teams、Outlook、SharePoint、Copilot 端点)。发布之后,智能体以一个服务主体的身份运行,该服务主体持有它在设计时被授予的连接器与数据源的委派权限。
CVE-2026-35435 存在于运行时对该已发布智能体调用进行授权的那一层。多份引用微软公告的分析指出,智能体运行时未能始终将调用者的身份与角色绑定到服务器端的会话。调用者提供的身份材料——或它的缺失——被视为足以构成授权证据。其结果,用 CWE-284 的语言来说,就是智能体接受了本应被拒绝的主体的请求,并将它们路由到了为 owner 形态角色保留的工作流中。
具体而言,公开报道中描述的后利用动作包括:以提升的权限重新发布或修改智能体的配置,滥用智能体已有的 Microsoft 365 集成来读取邮件和文件,或冒充智能体所代表的用户,以及在 Azure AI Foundry 工作区内横向移动到其他智能体和已连接的服务。
# 概念类别 —— 仅作示例,非利用代码
调用者 ─▶ 智能体运行时
├── 信任调用者声称的身份 ❌
└── 将调用路由到 owner 形态的工作流
├── 修改智能体配置
├── 复用已委派的 M365 权限(邮件、文件)
└── 横向跳转到工作区内的其他智能体该漏洞无需用户交互,可通过网络访问。它是纯粹的授权缺陷——没有内存破坏,也没有提示注入——但它位于 LLM 智能体运行时之上,因此其影响半径由智能体被允许以用户名义所做的一切来决定。
为什么重要
有三点值得明确。
第一,身份现在是 LLM 智能体的攻击面。模型本身不是漏洞所在,漏洞在于运行时如何判断谁在与智能体对话以及该调用者持有什么角色。这与近期连续打击微软栈的两个故障属于同一类:2026 年 4 月 Azure SRE Agent 上的 CVE-2026-32173 信任了它本不应信任的多租户 token 检查;CVE-2026-35435 则信任了 M365 已发布智能体的调用者身份。两款不同的产品,同一条教训——智能体的特权身份才是真正的目标。
第二,已发布智能体是一支队伍,而非一项功能。当一家公司向各业务线开放 Azure AI Foundry 之后,数十到数百个智能体带着定制化的连接器权限落入 M365。能让攻击者重新发布或改造一个智能体的 EoP,会一次性继承所有这些权限。如果没有清单告诉你发布了什么、每个智能体能触及什么,就没有简单办法去限定影响。
第三,补丁前已出现的在野利用改变了时间线。当厂商自己是披露源头并报告野外滥用时,标准的 90 天负责任披露窗口并不适用。防御问题变得即时:假设你的租户中智能体群体可能已被触及,并据此采取行动。
防御
微软发布的补偿性控制,加上披露对任意智能体运行时所暗含的教训,构成一份紧凑的清单。
**先盘点,后划界。**为你租户中的每一个 Azure AI Foundry 工作区和每一个已发布的 M365 智能体建档。逐一记录服务主体、它能触达的连接器、这些连接器所持有的数据范围,以及谁有权发布或修改该智能体。没有这些信息,你无法对影响半径做判断。
**对智能体的服务主体施加最小权限。**绝大多数已发布智能体默认权限过大。把连接器和 Graph API 范围裁剪回智能体真正使用的最小子集。撤销智能体并不需要的对邮箱、SharePoint 站点和 Teams 频道的常设访问权限。
**在智能体路径上启用条件访问。**微软建议通过条件访问策略,阻止智能体从不受信任的位置、不受信任的设备或匿名网络出口运行。将智能体的服务主体视为用户账户来套用这些策略。
**禁用或隔离高暴露的智能体。**公开可达或可匿名访问的已发布智能体是头号优先级。如果你无法立刻收紧其权限,就在运行时修复落地之前把它们下线。
**把身份决策搬回服务器端。**这是超越具体 CVE 的架构教训。任何允许调用者通过标志位、HTTP 头或未绑定 token 自我宣告身份的智能体框架,都和 OpenClaw 中的 senderIsOwner=true 或 Azure SRE Agent 中宽松的 appid 检查存在相同的失败模式。把角色、租户与所有权绑定到服务器端验证过的已认证会话,永远不要相信调用者的声明。
**记录、告警、轮换密钥。**对智能体的配置变更(重新发布、权限授予、连接器替换)、来自智能体服务主体的异常访问模式,以及对敏感已发布智能体的首次调用建立告警。修复之后,轮换每个受影响智能体所能触及的密钥。
状态
| 项 | 详情 |
|---|---|
| CVE | CVE-2026-35435 |
| CWE | CWE-284(不当访问控制) |
| CVSS | 8.6(严重) |
| 披露 | 2026 年 5 月 7 日(微软,星期二补丁) |
| 厂商 | 微软 |
| 受影响产品 | Azure AI Foundry —— M365 已发布智能体 |
| 补丁状态 | 披露时无补丁;已发布缓解措施 |
| 利用情况 | 微软报告已在野利用 |
| 攻击向量 | 网络,无需用户交互 |
| 主要缓解 | 智能体服务主体的最小权限、条件访问、隔离高暴露智能体 |
Sources
- → https://windowsnews.ai/article/cve-2026-35435-critical-azure-ai-foundry-privilege-escalation-in-m365-agents-leaves-systems-vulnerab.417153
- → https://www.redpacketsecurity.com/cve-alert-cve-2026-35435-microsoft-azure-ai-foundry/
- → https://radar.offseq.com/threat/cve-2026-35435-cwe-284-improper-access-control-in--a39ff77e
- → https://threatprotect.qualys.com/2026/05/12/microsoft-patch-tuesday-may-2026-security-update-review/
- → https://cybersecuritynews.com/microsoft-patch-tuesday-may-2026/
- → https://www.securityweek.com/microsoft-patches-137-vulnerabilities/