Ф'ючерси
Сотні безстрокових контрактів
CFD
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Акції
Центр діяльності
Беріть учать та отримуйте винагороди
Реферал
20 USDT
Запрошуйте друзів та отримуйте бонуси
Партнерська програма
Ексклюзивні комісійні винагороди
Gate Booster
Зростайте та отримуйте аірдропи
Оголошення
Оновлення платформи в реальному часі
Блог Gate
Статті про криптоіндустрію
VIP послуги
Величезні знижки на комісії
Управління активами
Універсальне рішення для управління активами
Інституційний
Рішення цифрових активів для бізнесу
Розробники (API)
Підключається до екосистеми додатків Gate
Позабіржовий банківський переказ
Поповнюйте та виводьте фіат
Брокерська програма
Щедрі механізми знижок API
AI
Gate AI
Ваш універсальний AI-помічник для спілкування
Gate AI Bot
Використовуйте Gate AI безпосередньо у своєму соціальному додатку
GateClaw
Gate Блакитний Лобстер — готовий до використання
Gate for AI Agent
AI-інфраструктура, Gate MCP, Skills і CLI
Gate Skills Hub
Понад 10 000 навичок
Від офісу до трейдингу: універсальна база навичок для ефективнішої роботи з AI
GateRouter
Розумний вибір із понад 40 моделей ШІ, без додаткових витрат (0%)
Microsoft Copilot Cowork виявив серйозну вразливість: AI-агент піддається атакам за допомогою підказок і автоматично розкриває корпоративні конфіденційні файли
Загроза безпеки від PromptArmor розкриває вразливість у Microsoft 365 Copilot Cowork, яка дозволяє зловмисникам через зловмисний файл навичок викликати витік конфіденційних даних компанії з SharePoint та OneDrive.
(Передісторія: GitHub Copilot припиняє самостійне підписання: неконтрольоване використання AI, економіка дешевих планів повністю руйнується)
(Додатковий контекст: Повний гайд по Claude Cowork: перетворюємо AI з чат-асистента у вашого цифрового співробітника)
Зміст статті
Перемикач
5 тестів — 5 успіхів. Інформаційна безпекова організація PromptArmor минулого тижня опублікувала звіт про загрози, в якому вказано, що функція Copilot Cowork у Microsoft 365 має повністю відтворювану ланцюг атаки витоку файлів.
Зловмисник достатньо вставити 5 рядків зловмисних команд у 81-рядковий файл налаштувань навичок, щоб змусити AI-агента без відома користувача передавати конфіденційні файли з SharePoint і OneDrive на сервер зловмисника.
Це не проблема окремої моделі. Claude Opus 4.7 і Claude Sonnet 4.6 підтверджено уразливими, причому Opus 4.7 демонструє більш «активну» поведінку, самостійно розширюючи пошук, включаючи у витік всі файли, відкриті користувачем під час цього тижня.
Microsoft каже, що запитує у вас, але не має
Ключовий момент цієї атаки — різниця між офіційним файлом і фактичною поведінкою.
Офіційна документація Microsoft чітко стверджує: «Cowork перед виконанням чутливих операцій, наприклад, відправки електронної пошти або публікації повідомлень у Teams, спочатку запитує вашу згоду.»
Проте дослідники PromptArmor виявили, що коли отримувач — це сам користувач, ця правила безпосередньо не працює. Надсилання листа самому собі або повідомлення у Teams автоматично виконується Cowork без підтвердження дозволу, і користувач не має можливості змінити цю поведінку.
Ця деталь стає ключовим проривом у ланцюгу атаки.
Copilot Cowork — це функція Microsoft 365 Frontier, яка через Microsoft Graph отримує повний доступ до хмарних даних користувача, може читати і керувати всією інформацією в орендарі компанії. Іншими словами, вона бачить все, що бачить користувач, включно з фінансовими звітами на SharePoint, кадровими даними у OneDrive та файлами з особистою ідентифікацією.
Кроки атаки
Ланцюг атаки складається з шести кроків:
Крок 1: У SharePoint або OneDrive жертви зберігаються чутливі файли з особистими або фінансовими даними.
Крок 2: Жертва завантажує з мережі файл налаштувань навичок, завантажує його у Copilot Cowork — це звичайна операція, що фактично є встановленням плагіна. Файл навичок автоматично завантажується з певної папки у OneDrive користувача, і адміністратор має дуже обмежений контроль над цим.
Крок 3: Жертва просить Copilot Cowork підготувати підсумок роботи за тиждень, що активує виконання навички.
Крок 4: Вбудовані зловмисні інструкції у підказці керують агентом, змушуючи його отримати «передавальне посилання з попередньою авторизацією» для кожного файлу, а потім за допомогою зловмисного HTML-мітки зображення передати ці посилання на сервер зловмисника.
Що таке передавальне посилання з попередньою авторизацією? Це URL з авторизаційною інформацією, який дозволяє будь-кому без входу у Microsoft завантажити файл, просто перейшовши за посиланням.
Крок 5: Агент надсилає повідомлення у Teams користувачу, яке містить ці зловмисні зображення, і весь процес відбувається без будь-якого дозволу користувача, а зловмисний вміст залишається непомітним навіть при відкритті повідомлення.
Крок 6: Користувач відкриває повідомлення у Teams, браузер автоматично завантажує зображення, і передавальне посилання з попередньою авторизацією передається на сервер зловмисника, що дозволяє йому у будь-який момент завантажити всі файли.
Модель розумніша — витік ширший
Тестування PromptArmor показало, що зростання можливостей моделі збільшує масштаб потенційної шкоди у цій атаці.
Спочатку використовувалась «автоматична» модель, яка динамічно перемикалась між Claude Opus 4.7 і Claude Sonnet 4.6. Після цього дослідники окремо перевірили Opus 4.7 і виявили, що одна й та сама інструкція повністю працює.
Усі тестові сценарії підтвердили, що ця атака цілком можлива і виконується незалежно від конкретних запитів користувача — будь-який запит, що активує навички, достатній для успішної ін’єкції.
Ще одна тривожна особливість — стійкість атаки. Copilot Cowork підтримує планування завдань, дозволяючи користувачам налаштовувати автоматичне виконання команд. Якщо зловмисник вставить свою інструкцію у планувальник, атака може повторюватися без участі користувача, постійно витікаючи конфіденційні дані.
PromptArmor наголошує, що це не просто баг, який можна виправити патчем. Це системний ризик у архітектурі корпоративного AI-агента. Коли агент отримує делеговані права у кількох системах, довіра до будь-якої з них може зруйнуватися і стати точкою входу для повного проникнення.
Обмеження прав — єдина сучасна захисна стіна
PromptArmor у своєму звіті також повідомляє про ще один вразливий момент, який дозволяє витік даних з ізольованого середовища Copilot Cowork, — це окрема проблема, яка наразі перебуває у процесі відповідального розкриття.
Цей ланцюг атаки був оприлюднений навмисно, щоб не чекати виправлень, оскільки ризик виникає не через конкретну вразливість, а через архітектурний дизайн системи. Користувачі мають усвідомлювати цей ризик і самостійно вирішувати, чи приймати його.
Основний спосіб зменшити ризик — обмежити дії агентів. Адміністратори можуть обмежити завантаження файлів у SharePoint, наприклад, командою Set-SPOSite -Identity -BlockDownloadPolicy $true або за допомогою маркування чутливості для блокування функції завантаження.
Це призведе до втрати функціональності: користувачі зможуть лише переглядати файли у браузері, але не зможуть їх завантажити, роздрукувати або синхронізувати, включно з Word, Excel, PowerPoint та іншими додатками Microsoft 365.
Це вже друга масштабна проблема безпеки у екосистемі Microsoft Copilot за останній час. Раніше виявлена уразливість EchoLeak (CVE-2025-32711) стосувалась ін’єкції підказок у персональній версії Copilot, а дослідження Varonis щодо атаки Reprompt (CVE-2026-24307) показало схожі шляхи витоку даних одним кліком. Вразливість у Copilot Studio (CVE-2026-21520, CVSS 7.5) вже виправлена, але подібні проблеми залишаються у ширшому спектрі продуктів Copilot.
Межі можливостей AI-агентів стають новим полем битви у корпоративній безпеці.
Коли інструмент може замінити вас у «роботі», його права доступу неминуче розширюються, а кожен дозвіл — потенційний канал атаки. Обмеження дій агентів — це по суті обмеження їхньої цінності, і ця суперечність наразі не має ідеального рішення.