---
title: "Copilot-hiba: egy kattintás elég az adatlopáshoz"
url: "https://soft.direct/copilot-hiba-egy-kattintas-eleg-az-adatlopashoz/"
type: post
date_modified: "2026-06-18T08:10:07+00:00"
---

# Copilot-hiba: egy kattintás elég az adatlopáshoz

![Copilot-hiba: egy kattintás elég az adatlopáshoz](https://soft.direct/wp-content/uploads/2026/06/sd-blog-featured-7.jpg)

Biztonsági kutatók egy **kritikus sebezhetőséget** tártak fel a Microsoft 365 Copilotban, amellyel egyetlen kattintással el lehetett lopni e-maileket, 2FA kódokat és bizalmas dokumentumokat. A Microsoft már javította a hibát, de a történet fontos tanulságokat hordoz.

### Mi az a SearchLeak?

A Varonis Threat Labs kutatói fedezték fel azt a sebezhetőség-láncot, amelyet SearchLeak néven publikáltak. A Microsoft a CVE-2026-42824 azonosítót rendelte hozzá, és a lehető legmagasabb, kritikus besorolást kapta.

A probléma lényege: a Microsoft 365 Copilot Enterprise Search keresőfunkciója úgy volt manipulálható, hogy egy speciálisan összeállított link megnyitásával a Copilot automatikusan végrehajtott egy keresést az áldozat postafiókjában, majd az eredményt továbbította a támadónak.

Dolev Taler, a Varonis kutatója így fogalmazott: a SearchLeak jól mutatja, hogyan hoznak létre az AI-rendszerek teljesen új támadási felületeket, amelyeket a hagyományos biztonsági eszközök szinte képtelenek észlelni.

### Hogyan működik a támadás?

A SearchLeak három sebezhetőséget láncolva működik. Az első lépés egy úgynevezett Parameter-to-Prompt Injection (P2P): a támadó egy URL-ben elrejt egy utasítást, amelyet a Copilot AI motorja nem egyszerű keresőkifejezésként, hanem végrehajtandó parancsként értelmez.

A második lépés egy HTML-megjelenítési versenyfeltétel: a Copilot válaszában egy képcímke jelenik meg, amelyet a rendszer a biztonsági szűrés előtt dolgoz fel. Ez lehetővé teszi, hogy a támadó által megadott képlekérés lefusson.

![A SearchLeak sebezhetőség működési elve illusztrálva](https://soft.direct/wp-content/uploads/2026/06/sd-blog-inline-7.jpg)

A SearchLeak támadás három lépésben lopja el az adatokat a Copilot keresőjén keresztülA harmadik lépés egy szerver oldali kéréshamisítás (SSRF) a Bing képkeresőjén keresztül: az ellopott adatok beágyazódnak egy képlekérés URL-jébe, és a Bing szerverein keresztül jutnak el a támadóhoz. Ez a megoldás megkerüli a tartalom-biztonsági házirendet (CSP), így a böngésző sem jelez semmit.

FontosA támadáshoz az áldozatnak mindössze egyetlen linkre kellett kattintania. Semmit nem kellett begépelnie, a Copilot automatikusan végrehajtotta a keresést és továbbította az adatokat. A Microsoft már javította a hibát, felhasználói beavatkozás nem szükséges.

### Milyen adatokat lehetett ellopni?

Mivel a SearchLeak a Copilot Enterprise keresőjét célozta, a hatóköre nem korlátozódott személyes adatokra. Minden, amihez a felhasználónak hozzáférése volt a szervezeten belül, potenciálisan kiszivároghatott.

Az érintett adattípusok között szerepelnek az e-mailek tartalma (beleértve a kétfaktoros hitelesítési kódokat), naptárbejegyzések és értekezleti feljegyzések, SharePoint-dokumentumok, valamint OneDrive-fájlok. Gyakorlatilag bármilyen indexelt üzleti tartalom elérhető volt ezen az úton.

### A Microsoft már javította a hibát

A jó hír: a Microsoft 2026 június elején szerver oldalon javította a sebezhetőséget, így a felhasználóknak semmilyen frissítést nem kell telepíteniük. A Varonis csak a javítás után hozta nyilvánosságra a részleteket, és nincs bizonyíték arra, hogy a hibát valaha kihasználták volna éles környezetben.

A Magyar Nemzeti Kiberbiztonsági Intézet (NKI) szintén beszámolt az esetről, ami jelzi, hogy a sebezhetőség nemzetközi szinten is kiemelt figyelmet kapott. Az eset rávilágít arra, hogy az AI-alapú eszközök új típusú biztonsági kockázatokat hoznak létre, amelyekre a hagyományos védelmi megoldások nincsenek felkészülve.

### Mit tehet Ön a biztonságáért?

Bár ez a konkrét hiba már javítva van, érdemes néhány általános biztonsági gyakorlatot követni. Ne kattintson ismeretlen forrásból érkező linkekre, különösen ha azok Microsoft 365-ös szolgáltatásokra mutatnak. Rendszeresen ellenőrizze, hogy szervezete naprakész biztonsági beállításokat használ.

Az AI-eszközök terjedésével várhatóan egyre több hasonló sebezhetőség kerül napvilágra. Az ilyen típusú támadások különösen veszélyesek, mert a felhasználó szemszögéből nézve semmi gyanús nem történik, a Copilot egyszerűen “elvégzi a dolgát”.

**Ön használ Microsoft Copilotot a munkájában?** Írja meg kommentben, mennyire tartja biztonságosnak az AI-alapú munkaeszközöket! Ha érdeklik a legfrissebb szoftveres ajánlatok és biztonsági hírek, [nézze meg a webshopunkat](https://soft.direct).

*Forrás: [Windows Central](https://www.windowscentral.com/artificial-intelligence/a-critical-microsoft-copilot-exploit-exposes-ai-gullibility-turning-the-chatbot-into-a-data-snitch-for-2fa-codes-and-sensitive-emails)*
