路过式提示注入:网页可在移动端悄然操控 Copilot
微软于 2026 年 7 月 14 日修复了一个严重漏洞:恶意网页可让 Android 版 Edge 向 Copilot 应用发送隐藏提示,既无需确认,也不校验来源。
这是什么?
2026 年 7 月 14 日,在一次数量创纪录的补丁星期二中,微软披露并修复了其移动端 Copilot 助手中的一个严重漏洞。该漏洞在 CVSS 评分中为 9.6,属于当月最严重的条目之一,可让恶意网站在用户毫不知情的情况下操控 Copilot。漏洞由安全公司 Enclave 的 Ofek Levin 私下报告,在补丁发布前并未公开;据微软称,该漏洞从未被在野利用,也未出现在任何已知被利用漏洞清单中。
值得关注的是其投递路径。这不是对模型的越狱,也不是运行时载入的投毒文档,而是移动浏览器与移动 AI 应用交界处的一处”管道”缺陷:某个组件在接受来自另一应用的提示请求时,既不要求确认,也不核实其来源。微软将底层弱点归类为命令注入(对命令中所用特殊元素的中和不当)。我们将其视为一则防御性案例研究:当 AI 助手过度信任其输入通道时会发生什么。
工作原理
微软的公告描述了一条攻击链,受害者除了在 Android 版 Microsoft Edge 中打开一个网页外,无需做任何其他操作。
Malicious page -> 受害者只是在 Android 版 Edge 中访问它
Crafted request -> 网页诱使 Edge 向 Copilot 应用发送提示
No gatekeeping -> 接收组件予以接受,既不确认也不校验来源
Copilot acts -> 攻击者选定的提示如同用户亲手输入一般被执行
核心缺陷在于两个应用之间缺少把关。接收提示请求的组件既不向用户请求确认,也不验证请求来源,因此由攻击者控制的网页所构造的指令会被当作来自合法用户加以处理。微软表示,其结果可能是 Copilot 中的非预期操作,例如读取或修改数据——助手会在用户 Copilot 已有权限范围内,执行被注入提示所要求的内容。
有一处已记录的含糊之处,需如实指出:公告将 iOS 与 Android 版 Microsoft 365 Copilot 列为受影响产品,但攻击描述仅提及 Android 版 Edge,且所链接的更新指向应用商店中的 Microsoft Edge,而非某个 Copilot 版本。微软并未给出具体的已修复版本号。我们不发布任何攻击载荷或复现细节;真正的教训在于其机制——一条应用间请求通道,把未经认证、跨来源的输入当作合法的用户意图。
为何重要
路过式提示注入,正是安全界在助手获得行动能力之后所预警的那类攻击。它结合了”致命三要素”中的两项:不可信内容(任意网页)与能够代表用户执行重大操作的智能体。使该漏洞从会议假设变为真实补丁星期二条目的,是其零交互投递——无需点击页内链接,无需打开文件,无需安装扩展。访问网页即已足够。
影响半径受限于移动端 Copilot 已能为该用户所做之事:对其已登录的数据与连接器进行读写。在 Copilot 可触及邮件、文件与聊天的企业部署中,“读取或修改数据”并非无关紧要的结果。而由于触发条件是访问网页而非钓鱼载荷,“不要打开附件”等传统的用户意识类控制几乎无从防护。好消息是真实的:该漏洞经由负责任披露被发现,在公开前得到修复,并被评估为不易被利用。而教训将长存:助手的输入通道如今已属于攻击面的一部分。
防御
修补客户端软件。由于微软将修复与应用商店更新而非某个具名版本挂钩,务实之举是在每台受管移动设备上,通过 Android 的 Play Store 与 iOS 的 App Store,保持 Copilot 应用与 Microsoft Edge 为最新版本。
收缩移动端 Copilot 的触达范围。对助手在移动端可触及之处施行最小权限——将连接器、数据访问与任何行动能力限定在用户确实需要的范围内,使被劫持的提示可利用的空间更小。
对重大操作要求确认。此处的根因是静默、未经确认的请求处理。在你能掌控智能体配置之处,坚持在助手读取或修改敏感数据前进行明确的人工审批,而非允许由外部通道触发的后台执行。
将应用间及”浏览器到助手”的通道视为不可信输入。凡是网页或其他应用可借以向 AI 助手传递指令的路径,都应对来源进行认证并对请求加以校验,正如对待来自互联网的 API 调用一样。
移除不用之物。若移动端 Copilot 并非某人工作流的一部分,卸载它即可彻底消除该攻击面——这对那些从不需要该助手的设备而言,是一项干净利落的控制。
状态
| 项目 | 详情 |
|---|---|
| 披露 | 由 Ofek Levin(Enclave)私下报告;于 2026 年 7 月 14 日补丁星期二公开并修复(CVE-2026-48561) |
| 严重程度 | CVSS 9.6(严重);归类为命令注入 |
| 受影响(据公告) | iOS 与 Android 版 Microsoft 365 Copilot;攻击描述涉及 Android 版 Edge |
| 利用情况 | 补丁前未公开;微软称无在野利用;未列入 CISA KEV;评估为”不太可能” |
| 修复状态 | 已修复;请通过应用商店保持 Copilot 应用与 Microsoft Edge 更新 |
Sources
- → https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-48561
- → https://www.thezdi.com/blog/2026/7/14/the-july-2026-security-update-review
- → https://www.notebookcheck.net/Microsoft-Copilot-Websites-could-secretly-issue-commands-to-the-AI.1343346.0.html
- → https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/