很多團隊導入 Microsoft 365 Copilot 或類似辦公 AI 時,第一個期待是「幫我更快找資料」。它能讀信箱、文件、會議紀錄和公司內部搜尋結果,回答起來當然比一般聊天機器人更貼近工作。
但 SearchLeak 這類漏洞提醒我們:辦公 AI 越能讀公司資料,越不能只把它當成搜尋框。真正的問題不是「它會不會亂編」,而是 它會不會被外部內容誘導,把原本只在內部可見的資料帶到外面。
這篇微課要處理的,不是「員工會不會亂下載資料」,而是更隱蔽的一層:當外部內容能對 AI 下指令,AI 會不會在你沒複製貼上的情況下,用它自己的回覆把內部資料送出去。導入辦公 AI 搜尋前,先畫好這條邊界。
它不教你修補某一個特定漏洞編號(CVE,公開揭露漏洞的統一編號),也不把責任推給使用者。它要處理的是更日常的決策:當 AI 搜尋能看見信箱與文件時,團隊要先畫哪些資料邊界,才不會把「幫我找一下」變成外洩通道。
先看懂 SearchLeak 暴露的工作流問題
Varonis Threat Labs 公開的 SearchLeak 研究指出,研究者把 Microsoft 365 Copilot Enterprise 的搜尋連結、AI 回覆中的 HTML 圖片載入,以及被允許的 Bing 相關網域串在一起,做出一條資料外送鏈。Microsoft 已在安全更新中修補相關 CVE,Mashable 也整理了這個案例為什麼代表 AI 助手安全的反覆問題。
用白話說,危險不只在「壞人登入你的帳號」。更麻煩的是:
- 員工本人本來就有權限看某些信件或文件。
- AI 也因為替員工工作,所以可以讀到那些內容。
- 外部連結或頁面把指令藏進 AI 會處理的內容裡。
- AI 回覆時,被引導把敏感內容塞進圖片網址或其他外部請求。
- 內部資料就可能在使用者沒有明確複製貼上的情況下,被送到外面。
這就是為什麼「我相信員工」還不夠。員工可能只是點了一個看起來正常的搜尋連結,真正被操控的是 AI 讀資料、整理資料、產生回覆的那段流程。
導入辦公 AI 搜尋前,先分三層資料
不要一開始就問「要不要開 Copilot」。先把 AI 可能讀到的資料分層,因為不同資料需要不同處理方式。
| 資料層級 | 例子 | AI 可以怎麼用 | 必須先加的邊界 |
|---|---|---|---|
| 一般工作資料 | 公開文件、會議議程、一般專案狀態 | 可以摘要、搜尋、整理待辦 | 要求保留來源,不把未確認內容寫成定案 |
| 內部敏感資料 | 客戶名單、報價、合約草稿、內部財務、員工資料 | 只能在內部情境協助查找,不應帶進外部頁面或圖片請求 | 限制可讀範圍、記錄查詢、關閉不必要的外部連線 |
| 高風險資料 | 雙重驗證(2FA)的一次性驗證碼、密碼重設信、金鑰、未公開交易或法務資訊 | 不應被 AI 摘要、轉述或用於自動回覆 | 從資料源頭隔離,避免進入 AI 可搜尋範圍 |
這張表要防的不是人按了下載,而是 AI 的回覆本身變成出口。重點是:「人看得到」不等於「AI 可以自由處理」。 人看到雙重驗證(2FA)的一次性驗證碼,通常知道那是敏感資訊;AI 如果只把它當成信件內容,就可能照著惡意指令把它放進回覆或網址裡。
事故後要問的不是誰點了連結,而是哪條邊界不存在
如果團隊只用「不要亂點」當防線,等於把 AI 工作流的責任全部丟給最後一個使用者。SearchLeak 類型的案例更適合用事後復盤表來檢查:哪個環節本來就不該放行?
| 復盤問題 | 如果答案不清楚,代表什麼風險 | 下一步 |
|---|---|---|
| AI 搜尋可以讀哪些信箱、文件與聊天紀錄? | 權限是照使用者帳號一路放大,沒有人知道 AI 實際可見範圍 | 先盤點資料源,移除不需要被 AI 搜尋的高風險資料夾 |
| AI 回覆能不能載入外部圖片、表單或連結? | 回覆本身可能變成資料外送通道 | 檢查內容安全政策、允許網域與 HTML 渲染規則 |
| 搜尋連結裡的參數會不會被 AI 當成指令? | 一個看似正常的連結,可能把隱藏指令交給 AI 執行 | 對搜尋參數做清理,並監控異常長或含 HTML 的搜尋 URL |
| 敏感資料被 AI 讀到時,有沒有遮罩或拒答規則? | AI 可能把驗證碼、金鑰或客戶資料當成一般文字摘要 | 對高風險格式做遮罩,並把一次性驗證碼排除在 AI 搜尋外 |
| 誰負責看 AI 搜尋的異常紀錄? | 就算系統有記錄,也沒有人在事故前發現可疑模式 | 指定負責人,定期檢查外送請求、異常查詢與拒答紀錄 |
這不是要每家公司都變成資安研究團隊,而是要把「AI 會幫忙讀資料」當成一個新的流程節點。既然是流程節點,就要有資料範圍、外部連線、監控和人工處理方式。
哪些情況先不要擴大開放
辦公 AI 搜尋很有用,但下面幾種情況不適合急著擴大使用範圍:
| 先不要擴大的情況 | 為什麼先別開 |
|---|---|
| 資料夾權限多年沒整理 | AI 會把離職者、跨部門、舊專案成員的舊權限一起繼承下來 |
| 信箱裡常有一次性驗證碼或重設連結 | 這些內容不適合被 AI 搜尋、摘要或轉述,應該先調整流程或隔離 |
| AI 回覆會嵌入外部內容 | 只要回覆可以載入圖片、表單或外部網址,就要把它視為可能的資料外送路徑 |
| 沒有人看稽核紀錄 | 有記錄但沒有人負責檢查,等於事故發生後才拿來解釋,而不是提前發現 |
| 使用者不知道 AI 讀了哪些資料 | 如果畫面只顯示一段答案,卻不清楚來源和可見範圍,員工很難判斷能不能採用 |
不切換案例也很重要:如果你只是偶爾要整理公開文件,或公司資料權限還很混亂,先用範圍小、可複製貼上的 AI 草稿流程,可能比直接開啟全域搜尋更安全。
一個小團隊可以先做的三件事
第一,先整理「AI 不該讀到」的資料,而不是只整理「AI 要讀到」的資料。像一次性驗證碼、密碼重設信、金鑰、法務未公開文件,都應該有更清楚的隔離方式。
第二,把 AI 搜尋的外部互動列成檢查項目。它能不能開外部連結?能不能載入圖片?哪些網域被允許?搜尋參數會不會原封不動交給 AI?這些問題比「模型是哪一版」更直接影響外洩風險。
第三,指定負責這件事的人。不是泛泛地說「IT 會看」,而是明確寫下:誰每週看異常搜尋、誰收到安全通知、誰可以暫停 AI 搜尋權限、誰負責通知受影響的資料擁有者。
AI 搜尋的價值是讓工作資料更快被找到;風險也是讓資料更快跨出原本的邊界。導入前先畫清楚哪些資料可讀、哪些不能帶出、哪些請求要被攔下,才不會等到外洩後才發現,原來真正缺的不是 AI 能力,而是資料邊界。
用日常來理解
- 團隊把辦公 AI 當成快速找資料的助手。
- 外部內容試著把隱藏指令交給 AI 處理。
- AI 的回覆若能載入外部請求,就可能變成資料外送路徑。
- 團隊用資料分層、外部連線限制與人工監控,把可讀和可帶出分清楚。
AI 整理卡
依這篇情境,請 AI 幫你整理
複製到你自己的 AI 聊天工具,讓它把這篇微課轉成你的個人版檢查清單。BMC 不會看到你貼給 AI 的內容。
參考來源
- Varonis Threat Labs:SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon — https://www.varonis.com/blog/searchleak
- Microsoft Security Response Center:CVE-2026-42824 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- Mashable:This Copilot vulnerability could expose emails, 2FA codes, and other sensitive data — https://mashable.com/tech/searchleak-microsoft-copilot-ai-assistant-vulnerability-report
