%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
安全研究機構 PromptArmor 近日發佈報告披露,微軟 Microsoft 365 旗下的 AI 智能體服務 Copilot Cowork 存在嚴重的安全漏洞。攻擊者可利用一種名爲“間接提示詞注入”的技術,在無需用戶批准的情況下,祕密竊取並外泄組織內部的企業雲盤機密文件。
潛伏於辦公模板中的惡意指令
作爲深度集成的 AI 助手,Cowork 本身擁有代替用戶發送郵件、發佈 Teams 消息以及檢索 OneDrive 和 SharePoint 組織內部信息的極高權限。然而研究人員發現,攻擊者只需將惡意指令隱藏在網頁、文檔或看似普通的辦公自動化模板(如“每週工作回顧”)中,即可誘騙智能體上鉤。
一旦用戶調用 Cowork 處理了這個包含惡意提示詞的文件,智能體便會受到操縱,謊稱需要生成文檔預覽。隨後,它會自動抓取相關高敏感文件的預認證下載鏈接,並將這些鏈接通過 Teams 消息隱蔽地發回給攻擊者,整個外傳過程在後臺悄然進行,用戶極難察覺。
定時任務放大風險且防範治理困難
報告指出,由於 Copilot Cowork 具備定時自動執行任務的功能,這讓安全風險被成倍放大。例如,像“週報彙總”這類被設定爲週期性運行的自動化任務,即使在用戶離開屏幕、無人值守的情況下,也會在後臺反覆觸發並執行攻擊鏈。
在安全測試中,該攻擊方法實現了 5 次測試全部完整跑通的驚人成功率。更糟糕的是,管理員對這類“技能文件”的可見性和治理難度極高,且該漏洞不僅在自動模式下有效,在明確指定調用 Claude Opus 4.7 等更強大的大模型時同樣無法倖免。