CVE-2026-45497:命令注入将 Microsoft 365 Copilot 变成 RCE 攻击面
2026 年 6 月 4 日,MSRC 披露了 CVE-2026-45497——Microsoft 365 Copilot 中的命令注入漏洞,被评为远程代码执行,并带有跨越服务边界的范围变更。已在服务端修复。
这是什么?
2026 年 6 月 4 日,微软安全响应中心(MSRC)发布了 CVE-2026-45497,这是 Microsoft 365 Copilot 中的一个漏洞,MSRC 将其归类为命令中特殊元素的不当中和——即经典的命令注入——并导致远程代码执行。该公告带有范围变更(scope changed)标记,意味着攻击者可以突破 Copilot 服务容器,触及其他 Microsoft 365 组件。微软表示该问题已在其云端修复,无需客户采取任何操作。同一批次还包含两条信息泄露条目:CVE-2026-47644(Microsoft Edge 中的 Copilot Chat)和 CVE-2026-42824(Microsoft 365 Copilot)。
这之所以重要,是因为这是主流 AI 助手的公告首次描述带容器穿越范围变更的 RCE,而不仅仅是自一年前 CVE-2025-32711「EchoLeak」 以来主导 Copilot 相关发现的数据外泄类别。
它如何运作
没有公开的漏洞利用代码,本文也不复现任何代码。MSRC 的归类告诉我们的是该漏洞的形态:在 Copilot 的工具/技能执行路径中的某处,受攻击者影响的文本到达了一个构建并执行命令的组件,且缺乏充分的净化。
对 AI 助手而言,这类文本的现实入口是提示注入。Copilot 在设计上就会摄入不可信内容——电子邮件、共享文档、日历邀请、被拉入上下文的网页。如果其中任何内容能够引导模型调用某个后端工具,而该工具的参数被拼接进 shell 或解释器调用,那么自然语言入口就变成了命令注入入口:
Untrusted content (email / doc / page)
| retrieved into Copilot context
v
Injected instruction -> model calls a backend tool
| tool arg concatenated into a command
v
Command injection -> code execution in the service
| S:C (scope change)
v
Reach into adjacent M365 components防御者应当重视「范围变更」这一点:它意味着影响半径并未被限制在触发它的那一次请求之内。
为什么重要
Copilot 嵌入到 Word、Excel、Outlook、Teams 和 SharePoint 中,企业装机量极大。该服务中的命令执行漏洞不是单租户问题;范围变更表明,本应将一次请求——以及可能某个租户的上下文——隔离于平台其余部分的边界并未守住。
更深层的教训是架构层面的。过去一年,业界一直把「Copilot 类」风险当作信息泄露来处理(EchoLeak、Copilot Studio 提示注入)。CVE-2026-45497 表明,只要允许智能体将模型输出变成命令,同样的不可信输入问题就会落到技术栈更深处,落到代码执行上。OWASP 的「致命三要素」——不可信输入、敏感访问,以及对外或执行能力——正是这一组合。
防御
微软已在服务端修复,因此没有补丁需要安装。要做的是确保你自己的智能体和任何自定义 Copilot 扩展不会重蹈覆辙。
- 绝不将模型输出拼接进命令。 通过结构化、参数化的 API 传递工具参数;避免 shell、
eval或由字符串拼接构造的解释器调用。如果工具必须执行命令,使用固定参数向量的白名单。 - 将所有检索到的内容视为不可信。 被拉入上下文的文档、邮件和网页都可被攻击者操纵。对其施加与对待网页表单相同的输入处理纪律。
- 约束三要素。 不要让同一个智能体同时拥有不可信输入、特权工具,以及执行或外泄通道。拆分能力,或将执行命令的工具置于人工确认之后。
- 沙箱化并限定工具执行范围。 在最小权限、隔离的环境中运行具备命令执行能力的工具,使一次成功的注入无法将范围扩展到相邻系统。
- 立即审计自定义插件与连接器。 即使核心服务已修复,同类漏洞仍存在于自研的 Copilot 扩展中。审查任何模型文本到达命令构建器的位置,并轮换这些插件持有的凭据。
- 记录工具调用,而不仅是聊天。 这类漏洞的检测在于监控模型调用了哪些后端工具、传入了哪些参数——仅凭聊天记录无法显示命令注入尝试。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| CVE-2026-45497(M365 Copilot) | MSRC | 2026-06-04 | 命令注入 -> RCE,范围变更;服务端已修复,无需客户操作 |
| CVE-2026-47644(Copilot Chat,Edge) | MSRC | 2026-06-04 | 信息泄露 |
| CVE-2026-42824(M365 Copilot) | MSRC | 2026-06-04 | 信息泄露 |
| CVE-2025-32711「EchoLeak」 | MSRC | 2025-06 | 此前 M365 Copilot 零点击数据外泄,作为背景 |
公开来源对 CVE-2026-45497 的确切 CVSS 数值存在分歧,因此我们不给出单一数字;MSRC 自身的公告才是权威参考。无论评分如何,结论都成立:能够将不可信文本转化为命令的 AI 助手就是一个 RCE 攻击面,而防御工作就是让模型输出远离命令构建器。
Sources
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45497
- → https://vulnerability.circl.lu/vuln/msrc_cve-2026-45497
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47644
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711