微软Copilot Studio AI被曝出安全漏洞

　　8月21日，有研究人员在微软的Copilot Studio AI工具中发现了一个严重的安全漏洞，可能会导致敏感的云数据外泄。

　　Copilot Studio是一个端到端的对话式AI平台，它允许用户通过自然语言或图形界面来创建和定制助手，可以轻松设计、测试和发布满足内部或外部场景的需求。

　　研究人员发现，该工具中存在服务器端请求伪造（SSRF）漏洞。利用这一漏洞，攻击者能够发起外部HTTP请求，访问云环境中的内部服务信息，这会影响到多个租户的信息安全。

　　Tenable的安全研究人员在该聊天机器人创建工具中发现了这一问题，并利用漏洞成功访问了微软的内部基础设施，包括实例元数据服务（IMDS）和内部Cosmos DB实例。

　　微软已将此漏洞编号为CVE-2024-38206，并发布了相关的安全公告。公告指出，经过验证的攻击者可以绕过Copilot Studio的SSRF保护机制，通过网络泄露基于云的敏感信息。