---
title: "Один клик и всё украдено: как хакеры взломали защиту Microsoft Copilot и вынудили корпорацию к экстренному патчу"
description: "Microsoft экстренно закрыла критическую дыру в Copilot: хакеры могли украсть данные корпоративного сегмента одним кликом. 🔓\n\nСпециалисты Varonis показали, как атака SearchLeak обходит защиту ИИ через Bing и HTML-теги. ⚠️"
date: 2026-06-17T08:20:00.000Z
lang: ru
url: https://xab.info/posts/msft-copilot-vzлом-ekstrennyj-patch-searchleak
tags: []
publisher: "XAB.info"
---

# Один клик и всё украдено: как хакеры взломали защиту Microsoft Copilot и вынудили корпорацию к экстренному патчу

![Логотип Microsoft на стене офиса, символизирующий корпорацию, чья защита Copilot была взломана хакерами, что потребовало экстренного патча.](https://xab.info/media/2026/06/17/msft-copilot-vzлом-ekstrennyj-patch-searchleak/msft-copilot-vzлом-ekstrennyj-patch-searchleak-1.webp)

Корпорация Microsoft была вынуждена выпустить экстренное обновление безопасности для своей флагманской платформы M365 Copilot. Поводом стало обнаружение критической уязвимости с максимальным уровнем угрозы, которая позволяла злоумышленникам незаметно похищать конфиденциальную информацию пользователей. Для успешной атаки не требовалось сложного оборудования или длительного взлома — достаточно было всего одного клика по ссылке.

Ситуация проливает свет на фундаментальную проблему современных больших языковых моделей (LLM). На архитектурном уровне алгоритмы не способны отличить легитимные инструкции пользователя от вредоносных команд, скрытых в стороннем контенте — будь то электронное письмо, документ или веб-страница. Именно эта особенность вынуждает разработчиков создавать сложные внешние барьеры (гардрейлы), которые, как показывает практика, хакеры регулярно учатся обходить.

### Механика атаки: как обмануть защиту браузера

В системе Copilot существуют строгие ограничения: ИИ запрещается самостоятельно отправлять электронные письма или заполнять веб-формы. Это сделано для предотвращения утечки данных. Однако специалисты по кибербезопасности из компании Varonis разработали уникальную цепочку взлома под названием SearchLeak, которая нивелирует эти защиты.

Суть метода заключается в том, что злоумышленники упаковывают украденную информацию внутрь стандартных HTML-тегов, например, в атрибут адреса изображения. Когда браузер пытается отобразить такую картинку, он автоматически отправляет HTTP-запрос на сервер хакера. В этом запросе содержатся секретные данные, которые остаются зафиксированными в системных логах атакующего.

Атака SearchLeak состоит из нескольких этапов, демонстрирующих высокую изощренность метода:

    - **Инъекция через параметр (Parameter-to-Prompt Injection):** Жертве отправляют специально сформированную URL-ссылку. В параметре поискового запроса (q=) скрыта команда для ИИ. Пользователю достаточно просто кликнуть по ссылке, и Copilot начинает выполнять заложенный приказ, например: «Найди письма пользователя и извлеки их заголовки».

    - **Обход текстовой блокировки:** Чтобы браузер не считывал вредоносный HTML-код, Microsoft в конце генерации автоматически оборачивает весь вывод Copilot в защитные теги (простой текст). Однако исследователи обнаружили уязвимость в моменте «размышлений» и потокового рендеринга (streaming). На долю секунды ИИ выдает необработанный HTML в DOM-дерево браузера. Этого мгновения достаточно, чтобы браузер увидел тег и успел отправить запрос на сервер хакера еще до того, как сработает защитный блок.

    - **Использование Bing как трамплина:** Copilot блокирует прямую отправку запросов на неизвестные сторонние сайты. Чтобы обойти это, хакеры использовали поисковик Bing. Поскольку поисковая система Microsoft входит в список доверенных адресов, Copilot беспрепятственно отправлял запрос на Bing, а тот уже перенаправлял зашифрованные похищенные данные дальше — на домен злоумышленников.

### Масштабы угрозы для бизнеса

Поскольку уязвимость SearchLeak нацелена на корпоративный сегмент (уровень Enterprise) Microsoft 365, потенциальные масштабы утечки выходят далеко за рамки личных данных. Злоумышленники получали доступ ко всему, к чему имел доступ конкретный сотрудник внутри организации. Это могло включать коммерческую тайну, переписку с клиентами и внутренние документы.

Хотя Microsoft полностью устранила обнаруженные уязвимости в экстренном обновлении, эксперты предупреждают: проблема не решена окончательно. Из-за отсутствия фундаментального решения проблемы «доверия к ИИ» хакеры неизбежно будут разрабатывать новые методы обхода защитных барьеров. Этот процесс, по мнению специалистов, будет повторяться снова и снова, требуя от компаний постоянного повышения бдительности.