【安全资讯】微软Excel零点击漏洞武器化Copilot Agent，可致数据泄露

概要：

在网络安全领域，零日漏洞的威胁日益严峻，尤其是当它们与人工智能工具结合时，风险呈指数级增长。微软近期披露的一个关键Excel漏洞（CVE-2026-26144）正是此类威胁的典型代表。该漏洞能将Copilot Agent模式武器化，实现无需用户交互的零点击数据窃取，对企业核心数据资产构成严重威胁。

主要内容：

CVE-2026-26144是一个严重级别的信息泄露漏洞，本质上是Microsoft Excel中的一个跨站脚本（XSS）缺陷。攻击者可以利用此漏洞，诱使Copilot Agent模式通过非预期的网络出口外泄数据，从而实现零点击攻击。这意味着，用户甚至无需打开或点击任何内容，攻击者即可通过特制的Excel表格，利用集成的AI代理功能，悄无声息地窃取机密信息。

该漏洞的成功利用依赖于网络访问，但无需用户交互或权限提升。Action1公司的CEO Alex Vovk指出，信息泄露漏洞在企业环境中尤其危险，因为Excel文件通常包含财务数据、知识产权或运营记录。一旦被利用，攻击者可以从内部系统静默提取机密信息，而不会触发明显的警报。

除了此漏洞，本月补丁星期二还修复了另外两个通过预览窗格触发的Office远程代码执行（RCE）关键漏洞（CVE-2026-26110和CVE-2026-26113）。这些漏洞允许攻击者在用户仅预览恶意文件时即执行代码，大大降低了攻击门槛。专家警告，此类攻击媒介在过去一年中变得越来越普遍，被用于主动攻击只是时间问题。

面对这些威胁，安全专家强烈建议尽快应用补丁。若无法立即部署，则应考虑限制Office应用程序的出站网络流量、监控Excel进程生成的异常网络请求，并在应用修复前禁用或限制Copilot Agent功能，以降低潜在风险。