网络安全团队 Oasis Research Team 近日披露，微软 OneDrive 文件选择器存在重大安全漏洞。问题根源在于文件选择器请求的 OAuth 权限范围过于宽泛，即使用户仅上传单个文件，系统也会要求对整个云存储驱动器的读取权限。这种设计不仅让用户难以判断应用是否恶意索取权限，还因授权提示模糊而增加风险。

更令人担忧的是，OAuth 令牌常以明文形式存储在浏览器会话中，可能被攻击者窃取。部分流程甚至发放 refresh tokens，使应用能在无需用户再次登录的情况下持续访问数据。这一机制可能导致个人及企业用户的敏感信息长期暴露。

目前，微软已确认该问题，但尚未发布修复方案。用户需谨慎处理相关授权请求，避免潜在数据泄露风险。