مايكروسوفت Copilot Cowork يكشف عن ثغرة خطيرة: وكيل الذكاء الاصطناعي يتعرض لهجمات كلمات التحفيز ويكشف تلقائيًا عن ملفات سرية للشركة

الأمن السيبراني机构 PromptArmor يكشف عن وجود ثغرة حقن موجه في ميكروسوفت 365 Copilot Cowork، حيث يمكن للمهاجمين من خلال ملف مهارة خبيث أن يتسببوا في تسرب ملفات سرية من SharePoint و OneDrive للشركات.
(ملخص سابق: GitHub Copilot يوقف الاشتراك الذاتي: استهلاك الذكاء الاصطناعي خرج عن السيطرة، وخطط الأسعار الرخيصة تنهار اقتصاديًا بالكامل)
(معلومات إضافية: دليل كامل لـ Claude Cowork: تحويل الذكاء الاصطناعي من مساعد دردشة إلى موظف رقمي خاص بك)

فهرس المقال

Toggle

• ميكروسوفت تقول أنها ستسألك، لكنها لا تفعل
  • خطوات الهجوم
• كلما كان النموذج أذكى، زادت التسريبات شمولاً
• تقليل الصلاحيات هو الحصن الوحيد حاليًا

نجح 5 اختبارات من أصل 5. أصدر مركز الأبحاث الأمني PromptArmor الأسبوع الماضي تقرير تهديدات، أشار فيه إلى وجود سلسلة هجوم كاملة قابلة لإعادة الإنتاج تسرب ملفات في ميكروسوفت 365 باستخدام وظيفة Copilot Cowork.

يكفي للمهاجم أن يزرع 5 أوامر خبيثة في ملف مهارة مكون من 81 سطرًا، ليتمكن من جعل وكيل الذكاء الاصطناعي يرسل ملفات سرية من SharePoint و OneDrive إلى خادم يسيطر عليه المهاجم دون علم المستخدم.

هذه ليست مشكلة نموذج واحد فقط. كل من Claude Opus 4.7 و Claude Sonnet 4.6 ثبت تأثرهما، و Opus 4.7 يظهر أداءً أكثر "نشاطًا"، حيث يوسع نطاق البحث بشكل نشط ليشمل جميع الملفات التي فتحها المستخدم خلال جلسة العمل الحالية.

ميكروسوفت تقول أنها ستسألك، لكنها لا تفعل

السر في هذا الهجوم يكمن في الفجوة بين ملف رسمي وسلوك فعلي.

توضح ميكروسوفت في وثائقها الرسمية أن: "Cowork قبل تنفيذ عمليات حساسة، مثل إرسال البريد الإلكتروني أو نشر رسالة في Teams، يستأذن منك مسبقًا."

لكن باحثو PromptArmor اكتشفوا خلال الاختبار أن هذه القاعدة تفشل عندما يكون المستلم هو المستخدم نفسه. إرسال بريد لنفسك، أو إرسال رسالة Teams لنفسك، يتم تلقائيًا بواسطة Copilot Cowork دون أي نافذة تأكيد أو إذن، ولا يمكن للمستخدم تعديل هذا السلوك من خلال إعدادات.

هذه التفاصيل تشكل الثغرة الأساسية في سلسلة الهجوم.

يعد Copilot Cowork وظيفة من وظائف ميكروسوفت 365، وتصل إلى صلاحيات المستخدم الكاملة على السحابة عبر Microsoft Graph، مما يتيح له قراءة والتفاعل مع جميع بيانات المؤسسة. بمعنى آخر، يمكنه رؤية كل شيء تراه، بما في ذلك تقارير المالية على SharePoint، وبيانات الموارد البشرية على OneDrive، وجميع الملفات التي تحتوي على معلومات تعريف شخصية.

خطوات الهجوم

تتكون سلسلة الهجوم من ست خطوات:

الخطوة الأولى: وجود ملفات حساسة تحتوي على بيانات شخصية أو مالية على SharePoint أو OneDrive للمستهدف.

الخطوة الثانية: يقوم الضحية بتحميل ملف مهارة من الإنترنت، ثم يرفعه إلى Copilot Cowork، وهو إجراء شائع يشبه تثبيت إضافة. يتم تلقائيًا تحميل ملف المهارة من مسار معين على OneDrive الخاص بالمستخدم، مع محدودية رؤية المديرين لهذا الإجراء.

الخطوة الثالثة: يطلب الضحية من Copilot Cowork إعداد ملخص للعمل لهذا الأسبوع، مما يُشغل تنفيذ المهارة.

الخطوة الرابعة: يتم توجيه وكيل الذكاء الاصطناعي بواسطة أوامر حقن موجهة، بحيث يحصل على "رابط تحميل معتمد مسبقًا"، ثم يستخدم علامة صورة HTML خبيثة لإرسال هذه الروابط كوسائط استعلام إلى خادم المهاجم.

ما هو رابط التحميل المعتمد مسبقًا؟ ببساطة، هو عنوان URL يحتوي على معلومات تفويض، يمكن لأي شخص الوصول إليه وتنزيل الملف مباشرة دون تسجيل الدخول إلى حساب Microsoft.

الخطوة الخامسة: يرسل الوكيل رسالة Teams للمستخدم نفسه، تتضمن علامات الصور الخبيثة، دون أن يطلب إذن المستخدم، والمحتوى الخبيث غير مرئي للمستخدم، حتى عند فتح الرسالة، لا يظهر شيء غير طبيعي.

الخطوة السادسة: عند فتح المستخدم لرسالة Teams، يتم تحميل الصورة تلقائيًا، ويُرسل رابط التحميل المعتمد مسبقًا إلى خادم المهاجم، مما يتيح للمهاجم تنزيل جميع الملفات في أي وقت.

النموذج الأذكى، التسريبات أوسع

كشفت اختبارات PromptArmor عن ظاهرة مهمة: كلما كانت نماذج الذكاء الاصطناعي أكثر قوة، زادت الأضرار الناتجة عن هذا النوع من الهجمات.

في البداية، استخدموا وضع "تلقائي"، حيث يتنقل النظام ديناميكيًا بين Claude Opus 4.7 و Claude Sonnet 4.6. ثم قام الباحثون بالتحقق بشكل مستقل من Opus 4.7، ووجدوا أن نفس أوامر الحقن كانت فعالة تمامًا.

تم تنفيذ سلسلة الهجوم بنجاح في جميع الاختبارات، ولا تعتمد على نص استعلام المستخدم، طالما أن أي استعلام أدى إلى تحميل المهارة، فإن الحقن ينجح.

كما أن الاستدامة في الهجوم مقلقة. يدعم Copilot Cowork جدولة المهام، بحيث يمكن للمستخدم ضبط أوامر تلقائية متكررة. بمجرد أن يتم إدخال إعداد الحقن في الجدول، حتى بدون تدخل المستخدم، يستمر الهجوم في التنفيذ بشكل صامت، ويستمر في تسريب البيانات السرية للمؤسسة.

يؤكد PromptArmor أن هذا ليس خطأ يمكن إصلاحه بواسطة تصحيح واحد، بل هو خطر منهجي في تصميم وكيل الذكاء الاصطناعي على مستوى المؤسسات. عندما يُمنح وكيل تفويضًا عبر أنظمة متعددة، فإن انهيار حدود الثقة في أي نظام يمكن أن يكون مدخلًا للاختراق الشامل.

تقليل الصلاحيات هو الحصن الوحيد حاليًا

كشف PromptArmor في تقريره عن ثغرة تسمح مباشرة بتسريب البيانات من بيئة Sandboxed الخاصة بـ Copilot Cowork، وهي مشكلة مستقلة عن الدراسة الحالية، وقد دخلت الآن في عملية الكشف المسؤول.

السبب في الكشف عن سلسلة الهجوم هذه هو أن هذا الخطر ينبع من تصميم بنية النظام، وليس من ثغرة قابلة للإصلاح. لذلك، يختار الباحثون الكشف عنها بشكل استباقي، حتى يتمكن المستخدمون من اتخاذ قرار واعٍ بشأن قبول هذا الخطر.

الإجراءات الحالية للحد من الضرر تركز على تقليل نطاق عمل الوكيل. يمكن للمديرين تقييد تنزيل الملفات عبر SharePoint باستخدام الأمر Set-SPOSite -Identity -BlockDownloadPolicy $true، أو تقييد التنزيل استنادًا إلى علامات الحساسية.

لكن الثمن هو تعطيل الوظائف، حيث يمكن للمستخدمين تصفح الملفات فقط عبر المتصفح، ولن يكون بإمكانهم تنزيل أو طباعة أو مزامنة الملفات، بما في ذلك Word وExcel وPowerPoint وغيرها من تطبيقات Microsoft 365.

هذه أيضًا ثاني مشكلة أمنية كبيرة تظهر مؤخرًا في نظام Copilot البيئي. كانت المشكلة السابقة، EchoLeak (CVE-2025-32711)، ثغرة حقن موجه في نسخة Copilot الشخصية، وهاجم Varonis عبر تقنية Reprompt (CVE-2026-24307) التي كشفت عن مسارات تسريب بيانات بنقرة واحدة، على الرغم من أن ثغرة التوجيه غير المباشر في Copilot Studio (CVE-2026-21520، CVSS 7.5) قد تم إصلاحها، إلا أن مشاكل مماثلة لا تزال قائمة في باقي منتجات Copilot.

حدود قدرات وكلاء الذكاء الاصطناعي أصبحت ساحة معركة جديدة للأمن السيبراني في المؤسسات.

عندما يكون لديك أداة يمكنها أن "تقوم بالأمر" نيابة عنك، فإن صلاحيات الوصول التي تحتاجها ستتوسع بشكل لا مفر منه، وكل صلاحية تُمنح تمثل نقطة ضعف محتملة للهجوم. تقييد قدرة الوكيل على التصرف هو في جوهره تقييد لقيمته، وهذه المعادلة الحالية لا يوجد لها حل مثالي.