Microsoft Copilot Cowork bocor kerentanan besar: Agen AI terkena serangan kata kunci otomatis membocorkan file rahasia perusahaan

Institusi Keamanan Siber PromptArmor Ungkap Kerentanan Injeksi Prompt pada Microsoft 365 Copilot Cowork, Penyerang Dapat Menggunakan Berkas Keahlian Berbahaya untuk Membocorkan Dokumen Rahasia SharePoint dan OneDrive Perusahaan.
（Latar Belakang: GitHub Copilot Menghentikan Langganan Mandiri: Penggunaan AI Tak Terkendali, Ekonomi Paket Terjangkau Kini Runtuh Total）
（Tambahan Latar Belakang: Panduan Lengkap Claude Cowork: Mengubah AI dari Asisten Chat Menjadi Karyawan Digital Anda）

Daftar Isi Artikel

Toggle

• Microsoft Ingin Bertanya Kepadamu, Tapi Tidak Melakukannya
  • Langkah Serangan
• Semakin Pintar Model, Semakin Luas Kebocorannya
• Pembatasan Hak Akses, Satu-satunya Benteng Saat Ini

5 Pengujian, 5 Keberhasilan. Institusi Keamanan Siber PromptArmor Minggu Lalu Merilis Laporan Intelijen Ancaman, Menunjukkan bahwa Fungsi Copilot Cowork di Microsoft 365 Mengandung Rantai Serangan Kebocoran Berkas yang Sepenuhnya Dapat Direproduksi.

Penyerang Hanya Perlu Menanamkan 5 Baris Perintah Berbahaya dalam Berkas Pengaturan Keahlian yang Berjumlah 81 Baris, untuk Membuat Agen AI Secara Tidak Disadari Mengirimkan Berkas Rahasia dari SharePoint dan OneDrive ke Server yang Dikendalikan Penyerang.

Ini Bukan Masalah Model Tertentu. Claude Opus 4.7 dan Claude Sonnet 4.6 Terbukti Rentan, dan Opus 4.7 Menunjukkan Perilaku Lebih "Proaktif", Secara Aktif Memperluas Pencarian, Mengikutsertakan Semua Berkas yang Dibuka Selama Sesi Cowork Minggu Ini dalam Daftar Kebocoran.

Microsoft Ingin Bertanya Kepadamu, Tapi Tidak Melakukannya

Kunci dari Serangan Ini Terletak pada Perbedaan Antara Berkas Resmi dan Tindakan Nyata.

Dokumen resmi Microsoft menyatakan dengan jelas: "Cowork akan meminta izin Anda sebelum melakukan operasi sensitif, seperti mengirim email atau memposting pesan di Teams."

Namun, Peneliti PromptArmor Menemukan bahwa Ketika Penerima adalah Pengguna Sendiri, Aturan Ini Langsung Gagal. Mengirim email ke diri sendiri, mengirim pesan Teams ke diri sendiri, Cowork secara otomatis Melakukan Tanpa Konfirmasi Izin, dan Pengguna Tidak Dapat Mengubah Perilaku Ini Melalui Pengaturan.

Rincian ini Menjadi Celah Kunci dalam Rantai Serangan.

Copilot Cowork adalah Fitur Frontier di Microsoft 365, yang Mengakses Hak Penuh Cloud Pengguna melalui Microsoft Graph, Membaca dan Mengelola Data di Seluruh Tenant Perusahaan. Dengan Kata Lain, Ia Bisa Melihat Segala Sesuatu yang Bisa Dilihat Pengguna, Termasuk Laporan Keuangan di SharePoint, Data Personalia di OneDrive, dan Semua Berkas yang Mengandung Informasi Identifikasi Pribadi.

Langkah Serangan

Rantai Serangan Terdiri dari Enam Langkah:

Langkah 1: Berkas Sensitif di SharePoint atau OneDrive Milik Korban Mengandung Data Pribadi atau Keuangan.

Langkah 2: Korban Mengunduh Berkas Pengaturan Keahlian dari Internet, Mengunggahnya ke Cowork, Sebagai Tindakan Umum, Seperti Menginstal Plugin. Berkas Keahlian Cowork Akan Dimuat Otomatis dari Path Tertentu di OneDrive Pengguna, Dengan Penglihatan Administrator yang Sangat Terbatas.

Langkah 3: Korban Meminta Cowork untuk Menyusun Ringkasan Kerja Mingguan, Memicu Eksekusi Keahlian.

Langkah 4: Perintah Injeksi Berbahaya yang Disisipkan Mengendalikan Agen, Membuatkan "Tautan Unduhan Otentikasi Pra-Setuju" untuk Setiap Berkas, Kemudian Menggunakan Tag Gambar HTML Berbahaya untuk Mengirimkan Tautan Tersebut sebagai Parameter Query ke Server Penyerang.

Apa Itu Tautan Unduhan Otentikasi Pra-Setuju? Singkatnya, URL yang Berisi Informasi Otorisasi, yang Dapat Diakses Siapa Saja Tanpa Masuk Akun Microsoft, dan Langsung Mengunduh Berkas.

Langkah 5: Agen Mengirim Pesan Teams ke Pengguna Sendiri, Menyisipkan Tag Gambar Berbahaya Tanpa Perlu Izin, Konten Berbahaya Tidak Terlihat oleh Pengguna, Bahkan Saat Membuka Pesan, Tidak Ada Tanda-tanda Anomali.

Langkah 6: Saat Pengguna Membuka Pesan Teams, Browser Otomatis Memuat Gambar, Tautan Unduhan Otentikasi Pra-Setuju Tersebut Terkirim ke Server Penyerang, yang Dapat Membuka Tautan untuk Mengunduh Semua Berkas.

Semakin Pintar Model, Semakin Luas Kebocorannya

Pengujian PromptArmor Mengungkapkan Fenomena Penting: Semakin Kuat Kemampuan Model, Semakin Besar Kerugian yang Dapat Ditimbulkan dalam Situasi Serangan Ini.

Awalnya Menggunakan Mode "Otomatis", Sistem Secara Dinamis Berpindah Antara Claude Opus 4.7 dan Claude Sonnet 4.6. Setelah Itu, Pengujian Khusus Pada Opus 4.7 Menunjukkan Instruksi Injeksi Sama Sekali Berhasil.

Rantai Serangan Ini Terus Berjalan Sempurna dalam Semua Pengujian, dan Tidak Bergantung pada Pertanyaan Spesifik Pengguna, Asalkan Ada Pemicu Pemuatan Keahlian, Injeksi Berhasil.

Keberlanjutan Serangan Juga Menjadi Kekhawatiran. Copilot Cowork Mendukung Penjadwalan Tugas, Membolehkan Pengguna Mengatur Instruksi Otomatis Berkala. Jika Pengaturan Injeksi Penyerang Masuk ke Dalam Jadwal, Korban Tidak Perlu Melakukan Apa-apa, Serangan Akan Berjalan Diam-diam Setiap Siklus, Mengirimkan Data Rahasia Perusahaan Secara Kontinu.

PromptArmor Menegaskan, Ini B bukan Sekadar Bug yang Bisa Diperbaiki dengan Patch Tunggal, Melainkan Risiko Sistemik dari Arsitektur Agen AI Tingkat Perusahaan. Ketika Seorang Agen Diberikan Delegasi Hak Akses Melintasi Beberapa Sistem, Jika Satu Sistem Gagal Memercayai, Itu Bisa Menjadi Pintu Masuk Penetrasi Total.

Pembatasan Hak Akses, Satu-satunya Benteng Saat Ini

PromptArmor Dalam Laporannya Mengungkapkan Kerentanan yang Secara Langsung Membolehkan Data Bocor dari Lingkungan Sandbox Copilot Cowork, Sebuah Masalah Terpisah dari Penelitian Ini, dan Saat Ini Sedang Dalam Proses Pengungkapan Bertanggung Jawab.

Serangan yang Dipublikasikan Kali Ini Dipilih untuk Diungkapkan Secara Proaktif, Bukan Menunggu Perbaikan, Karena Risiko Ini Berasal dari Desain Arsitektur Sistem, Bukan dari Kerentanan Tertentu yang Bisa Diperbaiki. Pengguna Harus Mengetahui Risiko Ini Sebelum Memutuskan untuk Menerimanya.

Langkah Mitigasi Saat Ini Utamanya Membatasi Pergerakan Agen. Administrator Dapat Membatasi Pengunduhan Berkas di SharePoint dengan Menggunakan Perintah Set-SPOSite -Identity -BlockDownloadPolicy $true, atau Menggunakan Label Sensitivitas untuk Memblokir Fungsi Unduh.

Harganya adalah Fungsi yang Terganggu, Pengguna Hanya Bisa Melihat Berkas di Browser, Tidak Bisa Mengunduh, Mencetak, atau Menyinkronkan, Termasuk Semua Aplikasi Microsoft 365 seperti Word, Excel, PowerPoint.

Ini Juga Menandai Masalah Keamanan Besar Kedua dalam Ekosistem Microsoft Copilot Baru-baru Ini. Sebelumnya Ada EchoLeak (CVE-2025-32711), Kerentanan Injeksi Prompt pada Versi Copilot Personal, dan Serangan Reprompt dari Varonis (CVE-2026-24307) yang Mengungkap Jalur Kebocoran Data Klik yang Serupa. Kerentanan Injeksi Prompt Tidak Langsung di Copilot Studio (CVE-2026-21520, CVSS 7.5) Sudah Diperbaiki, Tapi Masalah Serupa Masih Ada di Produk Copilot yang Lebih Luas.

Batas Kemampuan Agen AI Sedang Menjadi Arena Baru Keamanan Siber Perusahaan.

Ketika Sebuah Alat Bisa Menggantikan Tugas Anda, Hak Akses yang Diberikan Tidak Bisa Dihindari Meluas, dan Setiap Hak Akses Adalah Potensi Vektor Serangan. Membatasi Pergerakan Agen Pada Intinya Adalah Membatasi Nilai Penggunaannya, dan Saat Ini Tidak Ada Jawaban Sempurna untuk Konflik Ini.