微软 Copilot Cowork 智能体 AI 曝安全风险，机密文件恐外泄

IT之家 5 月 26 日消息，PromptArmor 昨日（5 月 25 日）发布博文，报道称微软 Microsoft 365 中 AI 智能体 Copilot Cowork 存在安全风险，可能因“间接提示词注入”导致 SharePoint 与 OneDrive 文件外流。

Cowork 是微软 Microsoft 365 Copilot 的智能体 AI 服务。其主要功能包括代替用户发送邮件、发布 Teams 消息、创建文档、安排会议和检索组织内部信息等。根据微软官方说明，Cowork 只在用户权限范围内活动，涉及高敏感操作时应弹出审批对话框。

然而，尽管如此，Cowork 却有潜在的安全漏洞。攻击者可以利用“间接提示词注入”（Indirect Prompt Injection）这一方式，把恶意指令藏进网页、邮件、文档或文件中。一旦 Copilot Cowork 读入这些带恶意指令的外部内容，就可能按攻击者的意图操作用户可访问的数据。

攻击手段剖析

PromptArmor 在其博文中提到，在一次测试中，通过 Agent Skills 文件传播，可以将看似普通的“weekly-review”文件嵌入恶意提示词。表面上这个文件的名字和功能都看起来像是一个日常办公自动化模板：用于回顾过去 7 天的工作情况并发送到 Teams。

具体过程如下： 1. 用户调用 Copilot 处理文件：当用户打开这个 Skills 文件时，Copilot Cowork 会根据恶意提示词开始执行任务。 2. 生成文档预览：智能体谎称需要生成一个文档预览。在这个过程中，它会抓取相关的文件的预认证下载链接。 3. 嵌入恶意 HTML 图片标签：这些链接随后被作为参数嵌入到恶意的 HTML 图片标签中，并通过 Teams 消息发送给用户。

整个过程中无需人工批准，而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息，预认证下载链接就可能被外传，攻击者就可以直接访问并下载文件。

测试结果

研究者对这一攻击方式进行了测试，结果显示，在 5 次类似的间接提示词注入中，全部成功实现了完整的攻击链。这说明这种攻击不仅在 Auto 模式下有效，即使明确指定使用 Claude Opus 4.7 时也同样有效。此外，Opus 4.7 还会检索更广范围的近期文档，进一步增加了风险。

周报任务的定时执行风险

Cowork 的一个特性是其定时执行功能。像周报汇总这类任务本就适合自动运行。然而，如果恶意技能文件被设为周期任务，在用户不在屏幕前时也可能反复触发，从而大大增加数据泄露的风险。

管理层的治理难度

研究者还提到，Cowork 的管理员对“技能”的可见性有限，因为 Copilot Cowork 会从用户 OneDrive 指定路径自动加载这些技能。这进一步增加了治理和控制这一潜在风险的难度。

结语。Copilot Cowork 的安全漏洞确实值得关注，尤其是在企业使用 AI 辅助工具时，更需要警惕这些潜在的风险。在享受智能体带来的便利的同时，必须加强安全防护措施，以确保敏感数据的安全。

我只说我接触到的情况，大厂内部可能不一样。

此深度稿