Copilot导致审计日志失效，微软却对用户三缄其口

微软的 Copilot 产品存在一个严重漏洞，允许用户在访问文件时不留下任何审计日志记录。尽管微软已修复此漏洞并将其归类为“重要”级别，但该公司决定不通知客户或公开此事。这意味着许多依赖微软服务的组织的审计日志可能是不完整和不准确的，从而引发了严重的安全与合规风险。

漏洞详情：Copilot 如何绕过审计日志

这个漏洞的原理非常简单。正常情况下，当用户要求 M365 Copilot 总结一份文件时，系统会在审计日志中记录下 Copilot 代表用户访问了该文件。审计日志是安全与合规的关键工具，其重要性体现在：

• 追踪内部威胁： 如果有员工在离职前使用 Copilot 秘密下载大量敏感文件，准确的日志是发现此类行为的唯一途径。
• 满足法规要求： 许多行业（如医疗保健领域的 HIPAA）要求对敏感数据的访问有严格的记录。不完整的日志可能导致企业违规。

然而，这个漏洞使得绕过日志记录变得异常容易。用户只需在请求中加入一个简单的指令，即要求 Copilot 在总结文件后不要提供文件链接，这次访问就不会被记录在审计日志中。

就像这样，你的审计日志就出错了。对于一个恶意的内部人员来说，避免被发现就像向 Copilot 提个要求一样简单。

更糟糕的是，这个漏洞的触发并不需要刻意寻找，它完全可能在无意中发生。这意味着，任何使用 M365 Copilot 的组织，其审计日志都很有可能已经存在记录缺失。

沟通不畅：与微软安全响应中心的交涉

向微软报告漏洞的过程同样充满问题，完全没有遵循其官方指南。在报告提交后，微软在未通知的情况下更改了产品功能，这使得复现问题变得困难。整个沟通过程感觉更像是走形式，而非真正透明的协作。

当被问及为何不为此漏洞分配一个 CVE 编号（通用漏洞披露编号）时，微软的回应是：

“只有当客户需要采取行动来保护自己时，我们才会为安全更新分配 CVE。在这种情况下，修复程序会自动推送到 Copilot，用户无需手动更新，因此不会分配 CVE。”

这个解释与其自身的政策相悖。在进一步追问下，微软才透露该漏洞被评级为“重要”（Important），但他们认为这还不足以需要发布 CVE 或主动通知客户。

保持沉默的决定及其后果

微软最终决定不向客户披露这个漏洞的存在。这是一个极其错误的决定，因为它直接损害了客户的利益。审计日志的完整性是许多组织安全体系的基石，尤其对于那些受严格法规监管的行业。

• 受 HIPAA 法规约束的公司依赖微软的审计日志来满足技术保障要求，但他们对此漏洞毫不知情。
• 在法律诉讼中，审计日志常常作为关键证据。不完整的日志可能会对案件结果产生重大影响。
• 美国政府曾公开批评微软对审计日志等基础安全功能额外收费，强调其至关重要性。

现在，微软却认为，即使审计日志在很长一段时间内都是不可靠的，也没有人需要知道这件事。这种做法让人不禁质疑，微软究竟还悄悄掩盖了多少其他问题。