近日，据科技媒体 DarkReading 发布了一篇博文，揭露了微软 Copilot Studio 存在的一个严重安全漏洞，该漏洞可能导致敏感的云数据泄露。该漏洞涉及服务器端请求伪造（SSRF），对多个租户的安全性产生了潜在的威胁。

Tenable 的研究人员在 Copilot Studio 的聊天机器人创建工具中发现了一个 SSRF 漏洞。该漏洞允许攻击者发出外部 HTTP 请求，从而访问云环境中关于内部服务的敏感信息，甚至可能影响到多个租户。

具体而言，研究人员利用这一漏洞，能够访问微软的内部基础架构，包括实例元数据服务（IMDS）和内部的 Cosmos DB 实例。此漏洞被微软追踪为 CVE-2024-38206，并已发布相关的安全公告。

根据公告，经过验证的攻击者可以绕过 Copilot Studio 中现有的 SSRF 保护机制，利用该漏洞在网络上泄露基于云的敏感信息。虽然目前尚未报告有大规模的攻击利用此漏洞，但它的存在已引起了广泛关注。

目前，微软正在积极采取措施修复该漏洞，并建议所有使用 Copilot Studio 的用户尽快应用更新以防止潜在的安全风险。微软还强调，保护用户数据安全是他们的首要任务，他们将继续努力改进平台的安全性。

Copilot Studio 是微软推出的一款端到端对话式 AI 平台，旨在帮助用户通过自然语言或图形界面轻松创建和自定义助手。该工具被广泛应用于设计、测试和发布满足内部或外部场景需求的对话式 AI 助手。