Microsoft 365 Copilotに深刻なセキュリティ脆弱性が発見された。セキュリティ研究者アダム・ローグ氏は、特殊に作成されたOffice文書をM365 Copilotに要約させたところ、間接的プロンプトインジェクションを介して、企業の機密データ（最近のメールなど）が取得され、Hexエンコード後に攻撃者サーバーに送信されるという事象を確認した。この攻撃では、M365 Copilotが生成するMermaid図形にCSSスタイルとハイパーリンクを埋め込み、偽の「ログインボタン」として表示。ユーザーがクリックすると、エンコードされたデータが攻撃者側のサーバーに送信され、解読可能になる。 この攻撃の鍵は、M365 Copilotが外部ツール（search_enterprise_emails）と連携してデータを取得でき、その結果をMermaid図のリンクに埋め込める点にある。また、図の内容は1行あたり200文字以内の制限があるため、長大なHexデータは30文字ごとに改行（バックスラッシュ継続）で分割して処理する必要があり、この細部の調整が成功の要因となった。 ローグ氏は、同様の脆弱性がCursor IDEでも報告されており、その際はリモート画像の自動読み込みが可能だったが、M365 Copilotでは制限されていたため、代わりにロック絵文字を用いて「ログインボタン」の見た目を再現。 攻撃の発見に至る過程で、ローグ氏はM365 Copilotが「間接的プロンプトインジェクション」に脆弱であることを突き止め、Excel文書の2枚目のシートに「白テキスト」で隠された段階的タスク変更命令を配置。これにより、Copilotは元の要請（財務データの要約）を無視し、代わりに「ログインが必要」という内容の出力を生成。 2025年8月15日にMSRCに報告。9月8日には再現確認、9月26日に対応完了。同日、MSRCは脆弱性の修正を完了したと発表。 しかし、10月30日、MSRCはM365 Copilotは「バウンティ対象外」とし、報奨金の支払いは見送られた。 この件は、AIが企業の文書処理に深く関与する中で、プロンプトの意図が外部データに隠され、意図しない操作やデータ漏洩を引き起こすリスクを浮き彫りにした。Microsoftはその後、Mermaid図内のインタラクティブコンテンツ（リンクなど）の機能を無効化することで、この攻撃経路を封じた。 本件は、AIアシスタントのセキュリティ設計に「人間の意図」を越える外部データの影響が及ぶリスクを示す、重要な事例である。