微软Copilot审计漏洞曝光：AI访问记录可被“抹除”，企业合规风险激增

安全研究员发现，微软M365 Copilot存在一个严重漏洞：用户可通过特定请求方式 让Copilot访问文件而不留下任何审计记录。微软虽已修复该问题，但未发布CVE编号，也未通知客户。意味着，全球大量企业的审计日志可能已被悄然“污染”，而他们对此毫不知情。

这个漏洞的关键在于“无痕访问”——简单来说，就像你请助理帮你查阅机密文件，但助理却没在门禁系统留下任何记录。对依赖审计日志进行合规审查、数据保护和法律取证的企业而言，这种“隐形访问”可能直接导致合规失效，尤其是金融、医疗等受监管行业。微软选择不公开此事，暴露出AI产品在安全透明度上的巨大隐患，也预示着未来企业在部署AI助手时，必须重新审视其“可审计性”与“责任归属”。

Copilot Broke Your Audit Log, but Microsoft Won’t Tell You

Copilot Broke Your Audit Log, but Microsoft Won’t Tell You

PistachioZack Korman