2025年5月28日，安全研究机构Oasis Security披露微软OneDrive文件选择器（File Picker）存在重大安全漏洞，数百万用户面临云存储数据遭窃风险。该漏洞允许第三方网站绕过"单文件分享"限制，直接获取用户整个OneDrive的完全访问权限。 
 [image] 
漏洞机理：权限失控的OAuth黑洞
与谷歌Drive采用精细化的drive.file 权限（仅限所选文件）不同，微软文件选择器存在两大致命缺陷： 

权限过度扩张

即使用户仅选择分享单个文件，系统仍会默认申请Files.ReadWrite.All 全域权限，导致授权网站可获得用户所有OneDrive文件的读写权。 

误导性授权界面

当前授权弹窗未明确提示"将开放整个云盘访问"，多数用户会误以为仅授权特定文件。（Dropbox采用的非OAuth私有接口则完全规避此风险） 
雪上加霜的Token管理乱象
...