近日，據科技媒體 DarkReading 發布了一篇博文，揭露了微軟 Copilot Studio 存在的一個嚴重安全漏洞，該漏洞可能導致敏感的云數據泄露。該漏洞涉及服務器端請求偽造（SSRF），對多個租戶的安全性產生了潛在的威脅。

Tenable 的研究人員在 Copilot Studio 的聊天機器人創建工具中發現了一個 SSRF 漏洞。該漏洞允許攻擊者發出外部 HTTP 請求，從而訪問云環境中關于內部服務的敏感信息，甚至可能影響到多個租戶。

具體而言，研究人員利用這一漏洞，能夠訪問微軟的內部基礎架構，包括實例元數據服務（IMDS）和內部的 Cosmos DB 實例。此漏洞被微軟追蹤為 CVE-2024-38206，并已發布相關的安全公告。

根據公告，經過驗證的攻擊者可以繞過 Copilot Studio 中現有的 SSRF 保護機制，利用該漏洞在網絡上泄露基于云的敏感信息。雖然目前尚未報告有大規模的攻擊利用此漏洞，但它的存在已引起了廣泛關注。

目前，微軟正在積極采取措施修復該漏洞，并建議所有使用 Copilot Studio 的用戶盡快應用更新以防止潛在的安全風險。微軟還強調，保護用戶數據安全是他們的首要任務，他們將繼續努力改進平臺的安全性。

Copilot Studio 是微軟推出的一款端到端對話式 AI 平臺，旨在幫助用戶通過自然語言或圖形界面輕松創建和自定義助手。該工具被廣泛應用于設計、測試和發布滿足內部或外部場景需求的對話式 AI 助手。