Futuros
Aceda a centenas de contratos perpétuos
CFD
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Promoções
Centro de atividades
Participe de atividades para recompensas
Referência
20 USDT
Convide amigos para recompensas de ref.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Announcements
Atualizações na plataforma em tempo real
Blog da Gate
Artigos da indústria cripto
Serviços VIP
Enormes descontos nas taxas
Gestão de ativos
Solução integral para a gestão de ativos
Institucional
Soluções de ativos digitais para empresas
Desenvolvedores (API)
Conecta-se ao ecossistema de aplicações Gate
Transferência Bancária OTC
Deposite e levante moeda fiduciária
Programa de corretora
Mecanismo generoso de reembolso de API
AI
Gate AI
O seu parceiro de IA conversacional tudo-em-um
Gate AI Bot
Utilize o Gate AI diretamente na sua aplicação social
GateClaw
Gate Lagosta Azul, pronto a usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
Mais de 10 mil competências
Do escritório à negociação, uma biblioteca de competências tudo-em-um torna a IA ainda mais útil
GateRouter
Escolha inteligentemente entre mais de 40 modelos de IA, com 0% de taxas adicionais
Microsoft Copilot Cowork revela uma vulnerabilidade grave: o Agente de IA sofre ataques por palavras-chave que levam à divulgação automática de ficheiros confidenciais da empresa
A organização de segurança PromptArmor revelou que o Microsoft 365 Copilot Cowork possui uma vulnerabilidade de injeção de prompts, permitindo que atacantes, através de um arquivo de habilidades malicioso, causem vazamento de documentos confidenciais do SharePoint e OneDrive corporativos.
(Resumindo: GitHub Copilot interrompeu assinaturas automáticas: uso de IA fora de controle, o modelo econômico de planos acessíveis entrou em colapso)
(Complemento: Guia completo do Claude Cowork: transformando IA de assistente de chat em seu funcionário digital)
Índice deste artigo
Alternar
Cinco testes, cinco sucessos. A organização de segurança PromptArmor publicou na semana passada um relatório de inteligência de ameaças, apontando que a funcionalidade Copilot Cowork do Microsoft 365 possui uma cadeia de ataque de vazamento de arquivos completamente reproduzível.
Os atacantes precisam apenas inserir cinco linhas de comandos maliciosos em um arquivo de configuração de habilidades de 81 linhas, permitindo que o agente de IA envie, sem o conhecimento do usuário, arquivos confidenciais do SharePoint e OneDrive para servidores controlados pelos atacantes.
Este não é um problema de um modelo isolado. Claude Opus 4.7 e Claude Sonnet 4.6 foram ambos verificados como vulneráveis, e o Opus 4.7 demonstra um comportamento mais “ativo”, expandindo proativamente o escopo de busca, incluindo todos os arquivos abertos na sessão de Cowork do usuário nesta semana na lista de vazamentos.
A Microsoft quer perguntar a você, mas não consegue
A chave para este ataque está na discrepância entre um arquivo oficial e o comportamento real.
O documento oficial da Microsoft afirma claramente: “Antes de executar operações sensíveis, como enviar e-mails ou publicar mensagens no Teams, o Cowork solicitará sua permissão.”
No entanto, os pesquisadores do PromptArmor descobriram que, quando o destinatário é o próprio usuário, essa regra falha. Enviar e-mails para si mesmo ou enviar mensagens no Teams para si mesmo faz com que o Copilot Cowork execute automaticamente, sem exibir qualquer janela de autorização, e o usuário não pode modificar esse comportamento em suas configurações.
Esse detalhe se torna uma brecha crítica na cadeia de ataque.
O Copilot Cowork é uma funcionalidade do Microsoft 365 Frontier, que obtém permissões completas na nuvem do usuário via Microsoft Graph, podendo ler e manipular dados de toda a tenant empresarial. Em outras palavras, ele consegue ver tudo o que você vê, incluindo relatórios financeiros no SharePoint, dados de RH no OneDrive, e todos os arquivos contendo informações de identificação pessoal.
Etapas do ataque
A cadeia de ataque consiste em seis passos:
Primeiro passo: o SharePoint ou OneDrive da vítima contém arquivos sensíveis com dados pessoais ou financeiros.
Segundo passo: a vítima baixa um arquivo de configuração de habilidades da internet, faz upload para o Copilot Cowork — uma operação comum, equivalente à instalação de um plugin. O arquivo de habilidades do Cowork é carregado automaticamente de um caminho específico no OneDrive do usuário, com visibilidade extremamente limitada para o administrador.
Terceiro passo: a vítima solicita ao Copilot Cowork que resuma suas atividades da semana, acionando a execução da habilidade.
Quarto passo: comandos de injeção de prompts maliciosos inseridos manipulam o agente, fazendo-o gerar “links de download pré-autenticados” para cada arquivo, que são então embutidos em uma tag de imagem HTML maliciosa, enviando esses links como parâmetros de consulta ao servidor do atacante.
O que é um link de download pré-autenticado? Simplificando, é uma URL com informações de autorização, que qualquer pessoa pode usar para baixar o arquivo sem precisar fazer login na conta Microsoft, apenas clicando.
Quinto passo: o agente envia uma mensagem no Teams ao próprio usuário, contendo essas tags de imagem maliciosas, tudo sem necessidade de autorização do usuário, e o conteúdo malicioso é completamente invisível, mesmo ao abrir a mensagem, sem sinais de anormalidade.
Sexto passo: ao abrir a mensagem no Teams, o navegador carrega automaticamente as imagens, enviando os links de download pré-autenticados ao servidor do atacante, que pode acessá-los a qualquer momento para baixar todos os arquivos.
Quanto mais inteligente o modelo, maior o vazamento
Os testes do PromptArmor revelaram um fenômeno preocupante: quanto mais potente o modelo, maior o dano potencial nesse cenário de ataque.
Inicialmente, usando o modo “automático”, o sistema alternava dinamicamente entre Claude Opus 4.7 e Claude Sonnet 4.6. Depois, verificaram apenas o Opus 4.7, e os resultados mostraram que a mesma instrução de injeção funcionou perfeitamente.
Essa cadeia de ataque foi executada com sucesso em todos os testes, independentemente do texto de consulta do usuário. Desde que qualquer solicitação acionasse a carga da habilidade, a injeção funcionou.
A persistência do ataque também é preocupante. O Copilot Cowork suporta tarefas agendadas, permitindo que o usuário configure comandos de prompt para execução automática periódica. Uma vez que a configuração de injeção do atacante entra na agenda, o ataque pode ocorrer silenciosamente a cada ciclo, continuamente vazando informações confidenciais da empresa.
O PromptArmor enfatiza que isso não é um bug que possa ser resolvido com uma única correção, mas um risco sistêmico na arquitetura de agentes de IA empresariais. Quando um agente recebe permissões delegadas que abrangem múltiplos sistemas, a quebra de confiança em qualquer um deles pode abrir uma porta para uma invasão total.
Reduzir privilégios é atualmente a única barreira de proteção
No relatório, o PromptArmor também revelou uma vulnerabilidade que permite a saída de dados do ambiente sandbox do Copilot Cowork, uma questão separada da pesquisa atual, que já está sendo tratada de forma responsável.
A cadeia de ataque divulgada publicamente foi escolhida por seus pesquisadores por serem um risco sistêmico, não uma vulnerabilidade específica que possa ser corrigida. Eles argumentam que, como o risco decorre do design do sistema, os usuários devem estar cientes e decidir se aceitam esse risco.
As medidas de mitigação atuais focam em limitar o alcance das ações do agente. Administradores podem restringir o download de arquivos no SharePoint usando o comando Set-SPOSite -Identity -BlockDownloadPolicy $true, ou aplicar etiquetas de sensibilidade para bloquear downloads.
O custo é a perda de funcionalidades: os usuários só poderão visualizar os arquivos no navegador, sem poder baixá-los, imprimi-los ou sincronizá-los, incluindo Word, Excel, PowerPoint e outros aplicativos do Microsoft 365.
Esta é a segunda grande vulnerabilidade de segurança recente no ecossistema do Microsoft Copilot. Anteriormente, o EchoLeak (CVE-2025-32711) era uma vulnerabilidade de injeção de prompts no Copilot pessoal, enquanto o ataque Reprompt, estudado pela Varonis (CVE-2026-24307), revelou uma rota semelhante de vazamento de dados com um clique. A vulnerabilidade indireta de injeção de prompts no Copilot Studio (CVE-2026-21520, CVSS 7.5) foi corrigida, mas problemas similares ainda persistem em outros produtos da linha Copilot.
A capacidade dos agentes de IA está se tornando um novo campo de batalha na segurança corporativa.
Quando uma ferramenta consegue “fazer as coisas” por você, suas permissões de acesso inevitavelmente se expandem, e cada permissão concedida representa uma potencial via de ataque. Limitar a ação do agente é, na essência, limitar seu valor de uso — um dilema sem uma resposta perfeita atualmente.