Microsoft Copilot Cowork phát hiện lỗ hổng lớn: AI Agent gặp tấn công bằng từ khóa kích hoạt tự động tiết lộ các tập tin bí mật của doanh nghiệp

Cơ quan an ninh mạng PromptArmor tiết lộ lỗ hổng tiêm lệnh tồn tại trong Microsoft 365 Copilot Cowork, kẻ tấn công có thể thông qua một tệp kỹ năng độc hại để gây rò rỉ các tệp bí mật của doanh nghiệp trên SharePoint và OneDrive.
（Tiền đề: GitHub Copilot dừng đăng ký tự động: AI quá tải, các gói giá rẻ đã hoàn toàn sụp đổ về mặt kinh tế）
（Bổ sung nền: Toàn diện hướng dẫn Claude Cowork: Biến AI từ trợ lý trò chuyện thành nhân viên kỹ thuật số của bạn）

Mục lục bài viết

Toggle

• Microsoft nói sẽ hỏi bạn, nhưng thực tế không
  • Các bước tấn công
• Mô hình càng thông minh, rò rỉ càng toàn diện
• Thu hẹp quyền hạn là hàng rào duy nhất hiện nay

5 lần thử nghiệm, 5 lần thành công. Cơ quan nghiên cứu an ninh PromptArmor tuần trước đã phát hành báo cáo tình báo mối đe dọa, chỉ ra rằng chức năng Copilot Cowork của Microsoft 365 tồn tại một chuỗi tấn công rò rỉ tệp hoàn toàn có thể tái tạo lại.

Kẻ tấn công chỉ cần chèn 5 dòng lệnh độc hại vào một tệp cấu hình kỹ năng dài 81 dòng, là có thể khiến AI đại diện trong khi người dùng không hề hay biết, gửi các tệp bí mật của doanh nghiệp trên SharePoint và OneDrive đến máy chủ do kẻ tấn công kiểm soát.

Điều này không phải vấn đề của một mô hình riêng lẻ. Claude Opus 4.7 và Claude Sonnet 4.6 đều bị ảnh hưởng, trong đó Opus 4.7 thể hiện “tích cực” hơn, chủ động mở rộng phạm vi tìm kiếm, bao gồm tất cả các tệp mà người dùng đã mở trong các phiên Cowork tuần này để đưa vào danh sách rò rỉ.

Microsoft nói sẽ hỏi bạn, nhưng thực tế không

Chìa khóa của cuộc tấn công nằm ở sự chênh lệch giữa một tệp chính thức và hành vi thực tế.

Tài liệu chính thức của Microsoft rõ ràng viết: “Cowork trước khi thực hiện các thao tác nhạy cảm, như gửi email hoặc đăng tin trong Teams, sẽ xin phép bạn.”

Tuy nhiên, các nhà nghiên cứu PromptArmor phát hiện rằng, khi người nhận là chính người dùng, quy tắc này hoàn toàn vô hiệu. Gửi email cho chính mình, gửi tin nhắn Teams cho chính mình, Cowork sẽ tự động thực thi mà không hiển thị bất kỳ cửa sổ xác nhận quyền nào, người dùng cũng không thể chỉnh sửa hành vi này qua cài đặt.

Chi tiết này trở thành điểm mấu chốt của toàn bộ chuỗi tấn công.

Copilot Cowork là chức năng Frontier của Microsoft 365, truy cập toàn bộ quyền đám mây của người dùng qua Microsoft Graph, có thể đọc và thao tác toàn bộ dữ liệu trong thuê bao doanh nghiệp. Nói cách khác, nó có thể thấy tất cả mọi thứ bạn có thể thấy, bao gồm báo cáo tài chính trên SharePoint, dữ liệu nhân sự trong OneDrive, và tất cả các tệp chứa thông tin nhận dạng cá nhân.

Các bước tấn công

Chuỗi tấn công gồm sáu bước:

Bước 1: Các tệp nhạy cảm chứa dữ liệu cá nhân hoặc tài chính trong SharePoint hoặc OneDrive của nạn nhân

Bước 2: Nạn nhân tải xuống một tệp cấu hình kỹ năng từ mạng, tải lên vào Copilot Cowork, đây là thao tác phổ biến, tương đương cài đặt plugin. Tệp kỹ năng của Cowork sẽ tự động tải từ một đường dẫn cụ thể trong OneDrive của người dùng, quản trị viên rất hạn chế khả năng giám sát

Bước 3: Nạn nhân yêu cầu Copilot Cowork tổng hợp tóm tắt công việc tuần này, kích hoạt thực thi kỹ năng

Bước 4: Lệnh tiêm nhiễm trong lệnh gợi ý bị chèn vào điều khiển proxy, khiến nó tạo ra “liên kết tải xuống đã được xác thực trước”, rồi dùng thẻ hình ảnh HTML độc hại để gửi các liên kết này làm tham số truy vấn đến máy chủ của kẻ tấn công.

Liên kết tải xuống đã được xác thực là gì? Đơn giản là một URL chứa thông tin ủy quyền, ai có được liên kết này đều có thể tải xuống tệp mà không cần đăng nhập tài khoản Microsoft.

Bước 5: Proxy gửi một tin nhắn Teams cho chính người dùng, trong đó nhúng các thẻ hình ảnh độc hại này, toàn bộ quá trình không cần sự cho phép của người dùng, nội dung độc hại hoàn toàn không hiển thị, ngay cả khi người dùng mở tin nhắn cũng không phát hiện bất thường.

Bước 6: Ngay khi người dùng mở tin nhắn Teams, trình duyệt tự động tải hình ảnh, liên kết tải xuống đã được xác thực sẽ gửi đến máy chủ của kẻ tấn công, kẻ tấn công có thể mở liên kết để tải tất cả các tệp.

Mô hình càng thông minh, rò rỉ càng toàn diện

Các thử nghiệm của PromptArmor cho thấy một hiện tượng đáng suy nghĩ: khả năng của mô hình càng mạnh, thiệt hại trong tình huống tấn công này càng lớn.

Ban đầu, hệ thống sử dụng chế độ “tự động”, chuyển đổi linh hoạt giữa Claude Opus 4.7 và Claude Sonnet 4.6. Sau đó, các nhà nghiên cứu xác nhận riêng biệt với Opus 4.7, kết quả cho thấy lệnh chèn cùng một nội dung hoàn toàn có hiệu lực.

Chuỗi tấn công này đã thực thi đầy đủ trong tất cả các thử nghiệm, và không phụ thuộc vào nội dung câu hỏi của người dùng, chỉ cần bất kỳ truy vấn nào kích hoạt tải kỹ năng, lệnh chèn đều thành công.

Tính bền vững của cuộc tấn công cũng rất đáng lo ngại. Copilot Cowork hỗ trợ lập lịch nhiệm vụ, cho phép người dùng cài đặt lệnh tự động định kỳ. Một khi lệnh chèn của kẻ tấn công được đưa vào lịch trình, nạn nhân thậm chí không cần thao tác thủ công, cuộc tấn công sẽ âm thầm thực thi theo chu kỳ, liên tục gửi dữ liệu doanh nghiệp ra ngoài.

PromptArmor nhấn mạnh, đây không phải lỗi phần mềm có thể sửa bằng một bản vá đơn lẻ, mà là rủi ro hệ thống trong kiến trúc AI đại diện doanh nghiệp. Khi một proxy được giao quyền ủy thác trên nhiều hệ thống, bất kỳ giới hạn tin cậy nào của hệ thống đó đều có thể trở thành điểm xâm nhập toàn diện.

Thu hẹp quyền hạn, là hàng rào duy nhất hiện nay

PromptArmor trong báo cáo còn tiết lộ một lỗ hổng cho phép dữ liệu thoát ra khỏi môi trường sandbox của Copilot Cowork, đây là một vấn đề riêng biệt ngoài nghiên cứu này, hiện đã được chuyển sang quy trình tiết lộ có trách nhiệm.

Chuỗi tấn công công khai này, các nhà nghiên cứu chọn cách chủ động tiết lộ thay vì chờ sửa, bởi vì: rủi ro này bắt nguồn từ thiết kế hệ thống, chứ không phải lỗi phần mềm có thể vá. Người dùng cần được thông báo rõ ràng để quyết định có chấp nhận rủi ro này hay không.

Các biện pháp giảm thiểu hiện tại chủ yếu là giới hạn phạm vi hoạt động của proxy. Quản trị viên có thể hạn chế tải xuống tệp qua SharePoint: thiết lập Set-SPOSite -Identity -BlockDownloadPolicy $true, hoặc dựa theo nhãn nhạy cảm để chặn chức năng tải xuống.

Chi phí là chức năng bị hạn chế, người dùng chỉ có thể xem tệp trong trình duyệt, không thể tải xuống, in ấn hoặc đồng bộ, bao gồm Word, Excel, PowerPoint và tất cả các ứng dụng Microsoft 365 khác.

Đây cũng là vấn đề an ninh lớn thứ hai gần đây của hệ sinh thái Microsoft Copilot. Trước đó, EchoLeak (CVE-2025-32711) là lỗ hổng tiêm lệnh trong phiên bản cá nhân của Copilot, nghiên cứu của Varonis về cuộc tấn công Reprompt (CVE-2026-24307) đã tiết lộ một đường dẫn rò rỉ dữ liệu chỉ cần nhấp chuột, trong khi lỗ hổng tiêm lệnh gián tiếp trong Copilot Studio (CVE-2026-21520, CVSS 7.5) đã được vá, nhưng các vấn đề tương tự vẫn chưa được khắc phục trong các dòng sản phẩm Copilot rộng hơn.

Giới hạn khả năng của các đại lý AI đang trở thành chiến trường mới về an ninh doanh nghiệp.

Khi một công cụ có thể thay thế bạn “làm việc”, quyền truy cập của nó sẽ không thể tránh khỏi mở rộng, và mỗi quyền được cấp đều là một lỗ hổng tiềm năng. Giới hạn khả năng hành động của proxy về bản chất chính là giới hạn giá trị sử dụng của nó, và mâu thuẫn này hiện chưa có câu trả lời hoàn hảo.