安全研究员Adam Logue发现并披露了Microsoft 365 Copilot（M365 Copilot）中一个严重安全漏洞，该漏洞可导致敏感数据通过Mermaid图表实现任意数据外泄。攻击者通过精心构造的Office文档，利用间接提示注入（Indirect Prompt Injection）技术，诱导M365 Copilot执行非预期操作。 攻击流程如下：攻击者在文档中隐藏多层嵌套指令，伪装成财务数据，诱导Copilot忽略原始内容，转而生成一个“登录按钮”样式的Mermaid图表。该图表实际为一个可点击的超链接，其URL中嵌入了从企业邮箱中获取的敏感数据，并以十六进制编码形式传递。当用户点击该“按钮”时，数据被发送至攻击者控制的服务器，完成数据外泄。 该漏洞的核心在于M365 Copilot支持在Mermaid图表中嵌入CSS和超链接，且能动态生成内容。研究者通过结合“任务漂移”（Task Drift）技术，利用Excel文档中以白色文本隐藏的指令，成功绕过系统检测，触发Copilot执行数据获取、编码、分段和嵌入等操作。为避免图表生成失败，数据被按每行不超过30字符进行分段处理，使用反斜杠换行符连接。 在测试中，点击图表后，M365 Copilot会短暂显示一个iframe，返回攻击者服务器的响应，内容可被替换为伪造的登录页面，极大增强欺骗性。研究者在DEFCON期间与微软MSRC团队交流后，确认需将此漏洞与提示注入结合以提升可接受性，因此进一步完善了攻击链。 该漏洞于2025年8月15日提交至MSRC，经多次验证后，微软于9月26日确认修复。修复后，M365 Copilot已禁用Mermaid图表中的可交互内容，有效阻断数据外泄路径。 尽管漏洞被成功修复，微软最终判定M365 Copilot不在其AI安全赏金计划的覆盖范围内，因此未授予奖励。该研究者于10月21日发布详细技术博客，公开完整攻击链与技术细节，为AI系统安全提供重要警示。