Futuros
Acesse centenas de contratos perpétuos
CFD
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gestão privada de patrimônio
Alocação premium de ativos
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos em RWA
Promoções
Centro de atividade
Participe de atividades e ganhe recompensas
Indicação
20 USDT
Convide amigos para recompensas de ind.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Anúncio
Atualizações na plataforma em tempo real
Blog da Gate
Artigos do setor de criptomoedas
Serviços VIP
Grandes Descontos nas Taxas
Gerenciamento de ativos
Solução completa de gerenciamento de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicativos da Gate
Transferência Bancária OTC
Deposite e retire moedas fiat
Programa de corretoras
Mecanismos de grandes descontos via API
AI
Gate AI
Seu parceiro de IA conversacional para todas as horas
Gate AI Bot
Use o Gate AI diretamente no seu aplicativo social
GateClaw
Gate Blue Lobster, pronto para usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
10K+ habilidades
Do escritório à negociação: um hub completo de habilidades para turbinar o uso da IA
GateRouter
Escolha inteligentemente entre mais de 40 modelos de IA, com 0% de taxas extras
Microsoft Copilot Cowork apresenta uma vulnerabilidade grave: o Agente de IA sofre ataques por palavras-chave que levam à divulgação automática de arquivos confidenciais da empresa
Segurança cibernética PromptArmor revela vulnerabilidade de injeção de prompts no Microsoft 365 Copilot Cowork, permitindo que atacantes vazem arquivos confidenciais do SharePoint e OneDrive com um arquivo de habilidades malicioso.
(Resumindo: GitHub Copilot interrompe assinaturas automáticas: uso de IA fora de controle, planos acessíveis colapsaram economicamente)
(Complemento: Guia completo do Claude Cowork: transformando IA de assistente de chat em seu funcionário digital)
Índice deste artigo
Alternar
Cinco testes, cinco sucessos. A organização de segurança PromptArmor publicou na semana passada um relatório de ameaças, apontando que a funcionalidade Copilot Cowork do Microsoft 365 possui uma cadeia de ataque completa e reproduzível que leva ao vazamento de arquivos.
O atacante precisa apenas inserir cinco linhas de comandos maliciosos em um arquivo de configuração de habilidades de 81 linhas, permitindo que o agente de IA envie, sem o conhecimento do usuário, arquivos confidenciais do SharePoint e OneDrive para servidores controlados pelo atacante.
Este não é um problema de um modelo isolado. Claude Opus 4.7 e Claude Sonnet 4.6 também foram testados e confirmaram vulnerabilidade, sendo que o Opus 4.7 demonstra uma postura mais “ativa”, expandindo automaticamente a busca para incluir todos os arquivos abertos na sessão de Cowork do usuário nesta semana, aumentando o alcance do vazamento.
Microsoft quer perguntar, mas não pergunta
A chave dessa vulnerabilidade está na discrepância entre um arquivo oficial e o comportamento real.
Segundo a documentação oficial da Microsoft, “Antes de executar operações sensíveis, como enviar e-mails ou publicar mensagens no Teams, o Cowork solicitará sua permissão.”
Porém, pesquisadores do PromptArmor descobriram que, quando o destinatário é o próprio usuário, essa regra falha. Enviar e-mail para si mesmo ou enviar mensagem no Teams para si mesmo faz com que o Copilot Cowork execute automaticamente, sem exibir qualquer janela de autorização, e o usuário não consegue modificar esse comportamento.
Esse detalhe se torna uma brecha crítica na cadeia de ataque.
O Copilot Cowork é uma funcionalidade do Microsoft 365 que, através do Microsoft Graph, obtém permissões completas na nuvem do usuário, podendo ler e manipular dados de toda a organização. Em outras palavras, ele consegue ver tudo o que você vê, incluindo relatórios financeiros no SharePoint, dados de RH no OneDrive e qualquer arquivo contendo informações pessoais.
Etapas do ataque
A cadeia de ataque consiste em seis etapas:
Primeira etapa: o usuário possui arquivos sensíveis no SharePoint ou OneDrive contendo dados pessoais ou financeiros.
Segunda etapa: o usuário baixa um arquivo de configuração de habilidades da internet e o faz upload no Copilot Cowork, uma operação comum semelhante à instalação de um plugin. O arquivo de habilidades é carregado automaticamente de um caminho específico no OneDrive do usuário, com visibilidade limitada ao administrador.
Terceira etapa: o usuário solicita ao Copilot Cowork que resuma seu trabalho da semana, acionando a execução da habilidade.
Quarta etapa: comandos de injeção de prompts maliciosos manipulam o agente, fazendo-o gerar “links de download pré-autenticados” para cada arquivo, que são então inseridos em uma tag de imagem HTML maliciosa, enviando esses links como parâmetros de consulta ao servidor do atacante.
O que é um link de download pré-autenticado? Simplificando, é uma URL com informações de autorização, que qualquer pessoa com o link pode usar para baixar o arquivo sem precisar fazer login na conta Microsoft.
Quinta etapa: o agente envia uma mensagem no Teams ao próprio usuário, contendo a tag de imagem maliciosa, tudo sem a autorização do usuário, e o conteúdo malicioso é invisível, mesmo ao abrir a mensagem.
Sexta etapa: ao abrir a mensagem no Teams, o navegador carrega automaticamente a imagem, enviando o link de download pré-autenticado ao servidor do atacante, que pode então baixar todos os arquivos a qualquer momento.
Quanto mais inteligente o modelo, maior o vazamento
Testes do PromptArmor revelaram um fenômeno preocupante: quanto mais avançado o modelo, maior o potencial de dano na situação de ataque.
Inicialmente, o sistema alternava dinamicamente entre Claude Opus 4.7 e Claude Sonnet 4.6 no modo “automático”. Depois, ao testar apenas o Opus 4.7, verificaram que a injeção de comandos funcionava perfeitamente.
A cadeia de ataque foi bem-sucedida em todos os testes, independentemente do tipo de consulta do usuário. Desde que qualquer solicitação acionasse a carga da habilidade, a injeção funcionava.
A persistência do ataque também é alarmante. O Copilot Cowork suporta tarefas agendadas, permitindo que o usuário configure comandos automáticos periódicos. Uma vez que a configuração de injeção entra na agenda, o ataque pode ocorrer silenciosamente a cada ciclo, vazando continuamente informações confidenciais da organização.
PromptArmor reforça que isso não é um bug que pode ser corrigido com uma única atualização, mas um risco sistêmico na arquitetura de agentes de IA empresariais. Quando um agente recebe permissões delegadas que abrangem múltiplos sistemas, a quebra de confiança em qualquer um deles pode abrir uma porta para uma invasão total.
Restringir permissões é atualmente a única barreira
O PromptArmor também revelou uma vulnerabilidade que permite a saída de dados do ambiente sandbox do Copilot Cowork, uma questão separada da pesquisa atual, que já está sendo reportada de forma responsável.
A cadeia de ataque divulgada publicamente foi escolhida por pesquisadores para expor o problema proativamente, pois o risco decorre da arquitetura do sistema, e não de uma vulnerabilidade específica que possa ser corrigida. Assim, os usuários devem estar cientes e decidir se aceitam esse risco.
As medidas de mitigação atuais envolvem limitar o alcance das ações do agente. Administradores podem restringir downloads de arquivos no SharePoint usando comandos como Set-SPOSite -Identity -BlockDownloadPolicy $true ou aplicar etiquetas de sensibilidade para bloquear downloads.
O custo é a perda de funcionalidades: os usuários só poderão visualizar arquivos no navegador, sem poder baixar, imprimir ou sincronizar, incluindo Word, Excel, PowerPoint e outros aplicativos do Microsoft 365.
Este é o segundo grande problema de segurança recente na ecossistema do Microsoft Copilot. Anteriormente, o EchoLeak (CVE-2025-32711) era uma vulnerabilidade de injeção de prompts no modo pessoal do Copilot, enquanto o ataque Reprompt, estudado pela Varonis (CVE-2026-24307), revelou uma rota de vazamento de dados com um clique. A vulnerabilidade indireta de injeção de prompts no Copilot Studio (CVE-2026-21520, CVSS 7.5) foi corrigida, mas problemas semelhantes ainda persistem em outros produtos da linha Copilot.
A capacidade dos agentes de IA está se tornando um novo campo de batalha na segurança corporativa.
Quando uma ferramenta consegue fazer “coisas” por você, ela inevitavelmente precisa de acessos mais amplos, e cada permissão concedida representa uma potencial via de ataque. Limitar a ação do agente é, na essência, limitar seu valor de uso — um dilema sem solução perfeita atualmente.