微軟Copilot被控釀成資安「盲區」恐讓機敏檔案外流卻查無紀錄

2025-08-21

記者孫敬／編譯

微軟（Microsoft）旗下的人工智慧助理Copilot for M365驚傳重大資安漏洞！據資安研究人員揭露，該漏洞允許使用者（包括惡意的內部人員）在存取與互動機敏檔案時，官方的稽核日誌（Audit logs）卻不會留下任何紀錄。

目前微軟已修補此漏洞，但官方決定不發布正式的 CVE（漏洞與暴露）編號，也不會主動通知客戶，這讓許多企業在無意中，面臨資安紀錄不完整的風險。

一個簡單指令，讓企業資安防護形同虛設

資安公司 Pistachio研究人員發現，在正常情況下，當使用者要求Copilot摘要某個檔案時，此行為會被記錄在M365的稽核日誌中，這是企業資安監控與合規性的關鍵功能。

然而，研究人員發現，只要在Copilot的指令中，加入一個要求其不提供原始檔案參考連結的命令，這位AI助理就會執行摘要任務，卻不會觸發任何日誌紀錄。這意味著，心懷不軌的員工在離職前，可以利用這個漏洞輕易地竊取機密資料、智慧財產或個人資訊，卻不會留下任何可追蹤的痕跡。

對於金融、醫療等高度監管的產業而言，這項漏洞的影響尤為嚴重，因為這些行業高度依賴稽核日誌來滿足HIPAA等法規要求。

該名於2025年7月4日發現此漏洞的研究人員表示，與微軟安全響應中心（MSRC）的溝通過程令人沮喪且不透明。他聲稱，微軟雖有公開的漏洞回報準則，但微軟卻在正式回應前，就悄悄地開始修補漏洞，也沒有清楚的去溝通。

最終，微軟將此漏洞評定為「重要（Important）」，並在8月17日上架修補程式。微軟告知研究人員，因為修復程式是自動推送到使用者端，因此不會發布CVE。但這種說法與微軟自己的政策相矛盾，因為微軟的政策並未規定自動更新就不需要發布CVE。

更令人擔憂的是，微軟確認沒有公開揭露此漏洞的計畫。這個決定引發了外界的強烈批評，因為這代表客戶不會被告知，他們在8月18日之前的稽核日誌可能存在重大缺陷。

資安公司 Zenity 的技術長麥克·巴格里（Michael Bargury）透露，他早在一年多前就發現並回報了完全相同的問題，但卻一直未被修補。

標籤

2025-08-21