أمن الذكاء الاصطناعي
ثغرة SearchLeak في Microsoft 365 Copilot تكشف مخاطر تسريب بيانات حساسة
📰 Ars Technica AI
📅 June 20, 2026
👁 84
⚡ Impact: High
ذكر Ars Technica أن Microsoft أصلحت ثغرة حرجة في Microsoft 365 Copilot، بعدما أظهر باحثون كيف يمكن لسلسلة هجوم تسمى SearchLeak استرجاع رموز 2FA ورسائل وملفات يمكن أن يصل إليها Copilot.
نشر Ars Technica تقريراً عن ثغرة حرجة في Microsoft 365 Copilot أُطلق عليها اسم SearchLeak. وبحسب التقرير، أصلحت Microsoft الثغرة، ثم شرح الباحثون الذين أبلغوا عنها كيف يمكن لسلسلة هجوم مبنية على رابط واحد أن تدفع Copilot إلى البحث داخل بيانات يملك المستخدم صلاحية الوصول إليها، ثم تمرير معلومات حساسة مثل رموز 2FA أو رسائل بريد أو ملفات عبر مسار خارجي.
تجمع الثغرة بين مشكلات مألوفة في الويب وبين خاصية جديدة في المساعدات المعتمدة على النماذج اللغوية: إذا تعامل النظام مع جزء من الرابط كتعليمة لا كاستعلام عادي، فقد يتحول البحث المؤسسي إلى قناة تسريب. خطورة الحالة أنها لا تعتمد فقط على كسر جدار حماية أو سرقة كلمة مرور، بل على كيفية تفسير المساعد الذكي للتعليمات المخبأة داخل طلب يبدو عادياً.
بالنسبة للشركات، الدرس العملي هو أن نشر Copilot أو أي مساعد مؤسسي متصل بالبريد والملفات يجب أن يصاحبه ضبط دقيق للصلاحيات، وتقليل البيانات المفهرسة عند عدم الحاجة، ومراقبة محاولات الحقن الموجهة للنموذج. كما ينبغي إدخال سيناريوهات prompt injection وتسريب البيانات في اختبارات الاختراق، لأن ضوابط الأمن التقليدية وحدها لا تكفي عندما يصبح المساعد قادراً على القراءة والبحث والتلخيص نيابة عن المستخدم.
تنبيه تحريري: هذا النص تحرير عربي موجز مبني على المصدر الأصلي، وليس نقلاً حرفياً منه.
المصدر الأصلي: Ars Technica AI
https://arstechnica.com/security/2026/06/critical-copilot-vulnerability-allowed-hackers-to-seal-2fa-code-from-users
تجمع الثغرة بين مشكلات مألوفة في الويب وبين خاصية جديدة في المساعدات المعتمدة على النماذج اللغوية: إذا تعامل النظام مع جزء من الرابط كتعليمة لا كاستعلام عادي، فقد يتحول البحث المؤسسي إلى قناة تسريب. خطورة الحالة أنها لا تعتمد فقط على كسر جدار حماية أو سرقة كلمة مرور، بل على كيفية تفسير المساعد الذكي للتعليمات المخبأة داخل طلب يبدو عادياً.
بالنسبة للشركات، الدرس العملي هو أن نشر Copilot أو أي مساعد مؤسسي متصل بالبريد والملفات يجب أن يصاحبه ضبط دقيق للصلاحيات، وتقليل البيانات المفهرسة عند عدم الحاجة، ومراقبة محاولات الحقن الموجهة للنموذج. كما ينبغي إدخال سيناريوهات prompt injection وتسريب البيانات في اختبارات الاختراق، لأن ضوابط الأمن التقليدية وحدها لا تكفي عندما يصبح المساعد قادراً على القراءة والبحث والتلخيص نيابة عن المستخدم.
تنبيه تحريري: هذا النص تحرير عربي موجز مبني على المصدر الأصلي، وليس نقلاً حرفياً منه.
المصدر الأصلي: Ars Technica AI
https://arstechnica.com/security/2026/06/critical-copilot-vulnerability-allowed-hackers-to-seal-2fa-code-from-users
💡 Practical Impact
Read Original Source →
على المؤسسات التي تستخدم Copilot مراجعة صلاحيات البحث والفهرسة، تطبيق تحديثات Microsoft، واختبار هجمات الحقن الموجهة للنماذج ضمن اختبارات الأمن، بدلاً من الاكتفاء بضوابط الويب التقليدية.