Microsoft 365 Copilot曝三项严重漏洞：微软2026年5月已完成云端修复

【5月11日快讯，综合Cybersecurity News报道】据网络安全媒体Cybersecurity News追踪披露，微软旗下Microsoft 365 Copilot存在三项严重信息泄露漏洞，编号分别为CVE-2026-26129、CVE-2026-26164及CVE-2026-33111，均于2026年5月7日由微软安全响应中心发布公告并完成云端修复。

技术细节方面，CVE-2026-26129影响Microsoft 365 Copilot Business Chat，漏洞源于对特殊元素的不当中立化处理，可能被攻击者利用跨网络泄露敏感信息。CVE-2026-26164同样涉及M365 Copilot，攻击向量基于网络，无需权限或用户交互，可造成高机密性影响。CVE-2026-33111则影响嵌入Microsoft Edge浏览器的Copilot Chat，属于命令注入类漏洞，CVSS评分为7.5/6.5。三项漏洞均由微软内部安全专家Estevam Arantes与外部研究员0xSombra共同发现。

影响与建议：由于M365 Copilot可聚合处理大量组织数据——包括电子邮件、文档与Teams对话——此类漏洞可能导致知识产权、机密通信或受限内部记录跨信任边界泄露。微软已确认三项漏洞均未在公开发布前被实际利用。由于属于云端漏洞，微软已在服务端完成修复，企业用户无需安装补丁或调整配置。安全团队仍建议定期审查Copilot的数据访问权限，严格遵循最小权限原则以降低未来类似风险。