En kritisk sikkerhetsfeil i Microsoft Copilot har gjort det mulig for ondsinnede aktører å hente ut tofaktorautentiseringskoder (2FA) direkte fra brukernes samtaler med AI-assistenten. Sårbarheten, kjent under navnet «SearchLeak», er dokumentert av Ars Technica og beskrives som et symptom på en vedvarende, strukturell svikt i hvordan bransjen tilnærmer seg sikkerhet i store språkmodeller.

Slik fungerte angrepet

SearchLeak-utnyttelsen tok utgangspunkt i måten Copilot behandler og videreformidler eksternt innhold under søk og verktøykjøring. Ved å plante spesielt utformede instruksjoner i innhold som Copilot hentet fra nettet, kunne en angriper manipulere assistenten til å eksponere sensitiv informasjon fra brukerens pågående sesjon — inkludert engangskoder brukt til tofaktorautentisering, ifølge Ars Technica.

Dette er en variant av det som kalles prompt injection via eksternt innhold: AI-systemet greier ikke å skille mellom legitime instruksjoner fra brukeren og ondsinnede instruksjoner gjemt i data det behandler på vegne av brukeren.

SearchLeak viser at bransjen gjentar de samme sikkerhetsfeilene i LLM-systemer, gang etter gang.
Kritisk Copilot-sårbarhet: Hackere kunne stjele 2FA-koder direkte fra brukere - Bilde 1

Et mønster som gjentar seg

Ars Technicas dekning understreker at dette ikke er en isolert hendelse, men del av et gjenkjennelig mønster: LLM-baserte produkter rulles ut med utilstrekkelig sikkerhetstesting, og kritiske sårbarheter avdekkes i etterkant — ofte av eksterne forskere.

Sikkerhetsmiljøet har lenge advart om at integrering av nettilgang, plugin-systemer og agentbaserte verktøykjeder dramatisk utvider angrepsflaten for AI-assistenter. Når en modell kan sende HTTP-forespørsler, lese e-post, eller starte andre verktøy på brukerens vegne, blir enhver svikt i innholdsfiltrering potensielt kritisk.

Hva forskningsmiljøet anbefaler

IFølge anerkjente sikkerhetsprinsipper for LLM-er, blant annet fra OWASP LLM Top 10-rammeverket, krever forsvarlig sikring av slike systemer langt mer enn å lappe enkeltfeil etter at de oppdages.

Sentrale anbefalinger inkluderer systematisk rød-lag-testing (red teaming) der spesialiserte team aktivt forsøker å bryte ned systemets forsvar før lansering. Verktøy som Microsofts eget PyRIT, samt åpne løsninger som Garak og LLM Guard, kan brukes til å automatisere deler av denne testingen.

I tillegg anbefales det å implementere Data Loss Prevention-systemer for å fange opp sensitiv informasjon i modellutdata, null-tillit-arkitektur med flerfaktorautentisering og rollebasert tilgangskontroll, samt isolering av LLM-inferensmiljøer for å hindre datalekkasje mellom ulike brukerkontekster.

Når AI-assistenter kan lese e-post og hente nettsider på dine vegne, blir innholdssikkerhet et kritisk sikkerhetslag — ikke et tillegg.

Supply chain og agentbaserte risikoer

En dimensjon som ofte undervurderes, er risikoen knyttet til LLM-systemers forsyningskjede. OWASP identifiserer dette som LLM05 i sin Top 10-liste. Kompromitterte tredjepartskomponenter — fra forhåndstrente modeller til finjusteringsadaptere og datasett — kan introdusere bakdører som er svært vanskelige å oppdage.

For agentbaserte systemer som Copilot, der AI-en opererer med egne verktøy og kan ta selvstendige handlinger, er angrepsvektorene ytterligere utvidet. OWASP ASI 2026-rammeverket peker spesielt på målkapringsangrep (goal hijacking) og verktøymisbruk som de fremste truslene mot autonome AI-agenter.

SearchLeak-sårbarheten er et tydelig eksempel på at ambisjonsnivået i AI-produktutvikling foreløpig løper fra sikkerhetsarbeidet — og at konsekvensene for sluttbrukerne kan være svært konkrete.