📢 Gate 广场 TradFi 交易分享挑战上线!
晒单瓜分 $30,000 奖池,新人首帖 100% 中奖!
📌 参与方式:
带 #TradFi交易分享挑战 发帖,满足以下任一即可:
🔹 带今日指定 TradFi 币种标签发帖交流。
🔹 完成单笔大于 $10U 的 TradFi CFD 交易并挂载交易卡片。
🏷️ 今日指定标签:USDJPY、AUDUSD、US30、TSLA、JPN225
🎁 宠粉福利:
1️⃣ 卡片分享奖: 抽 50 人,每人送 $100 仓位体验券!
2️⃣ 发帖榜单奖: 冲排行榜,赢 WCTC 限定 T 恤!
3️⃣ 新粉见面礼: 新人首次发帖,100% 领 $10 体验券!
详情:https://www.gate.com/announcements/article/51221
微软 Copilot Cowork 爆重大漏洞:AI Agent 遇提示詞攻擊自动洩漏企业机密檔案
网络安全机构 PromptArmor 揭露:Microsoft 365 的 Copilot Cowork 存在提示注入漏洞,攻击者可通过一份恶意技能档,导致企业的 SharePoint 与 OneDrive 机密文件外泄。
(前情提要:GitHub Copilot 喊停自助订阅:AI 用量失控,平价方案的经济学已全面崩溃)
(背景补充:Claude Cowork 完全攻略:把 AI 从聊天助手变成你的数字员工)
本文目录
Toggle
5 次测试,5 次成功。资安研究机构 PromptArmor 上周发布威胁情报报告,指出 Microsoft 365 的 Copilot Cowork 功能存在一条完整、可重现的文件外泄攻击链。
攻击者只需在一个 81 行的技能设定档中植入 5 行恶意指令,便能让 AI 代理人在用户毫不知情的情况下,将 SharePoint 和 OneDrive 的企业机密文件传送到攻击者控制的服务器。
这不是个别模型的问题。Claude Opus 4.7 与 Claude Sonnet 4.6 均已验证受影响,且 Opus 4.7 表现得更为“积极”,主动扩大搜索范围,把受害者本周所有 Cowork 工作阶段曾开启的文件一并纳入外泄清单。
微软说要问你,但它没有
这个攻击的关键,在于一个官方文件与实际行为之间的落差。
微软官方说明文件中明确写道:“Cowork 在执行敏感操作前,例如寄送电子邮件或在 Teams 发布消息,会先征得您的同意。”
然而 PromptArmor 的研究人员在测试中发现,当收件人是用户本人时,这条规则直接失效。给自己发信、向自己发送 Teams 消息时,Copilot Cowork 一律自动执行,不弹出任何授权确认窗口,用户也没有任何设置可以修改这个行为。
这个细节,成为整条攻击链的关键缺口。
Copilot Cowork 是 Microsoft 365 的 Frontier 功能,通过 Microsoft Graph 获取用户的完整云端权限,可读取并操作整个企业租户内的资料。换句话说,它能看到你能看到的一切,包括 SharePoint 上的财务报表、OneDrive 里的人员资料,以及所有含个人识别信息的文件。
攻击步骤
攻击链共六个步骤:
第一步:受害者的 SharePoint 或 OneDrive 中存有含个人信息或财务资料的敏感文件
第二步:受害者从网络下载一份技能设定档,并上传到 Copilot Cowork;这是一种常见操作,相当于安装插件。Cowork 的技能设定档会从用户 OneDrive 的特定路径自动载入,管理员对此能见度极为有限
第三步:受害者请 Copilot Cowork 整理本周工作摘要,从而触发技能执行
第四步:被植入的提示注入指令操控代理人,让它为每份文件取得“预认证下载链接”,再通过恶意 HTML 图片标签,将这些链接作为查询参数发送到攻击者服务器。
预认证下载链接是什么?简单来说就是,一个带有授权信息的 URL;任何人只要拿到这条链接,不需要登录 Microsoft 帐号,直接点击就能下载该文件。
第五步:代理人向用户本人发送一则 Teams 消息,消息中嵌入这些恶意图片标签;全程不需要用户授权。恶意内容对用户完全不可见,即使点开消息也看不出异常
第六步:用户打开 Teams 消息的瞬间,浏览器会自动加载图片,预认证下载链接就此发送到攻击者服务器,攻击者随时都能打开链接并下载所有文件。
模型越聪明,泄露越全面
PromptArmor 的测试揭示了一个值得深思的现象:模型能力越强,在这个攻击情境中造成的损失就越大。
测试初期使用“自动”模式,系统会在 Claude Opus 4.7 与 Claude Sonnet 4.6 之间动态切换。研究人员随后针对 Opus 4.7 单独验证,结果发现同一份注入指令完全生效。
在所有测试中,这条攻击链均完整执行,且与用户的具体提问文字无关;只要任何查询触发了技能载入,注入就会成功。
攻击的持续性同样令人担忧。Copilot Cowork 支持排程任务,让用户设置定期自动执行的提示指令。一旦攻击者的注入设置进入排程,受害者甚至不需要主动操作,攻击就会在每个周期静默执行,源源不断向外输出企业机密。
PromptArmor 强调,这不是一个可以用单一补丁修复的程序错误,而是企业级 AI 代理人设计架构的系统性风险。当某个代理人被赋予跨多个系统的委派授权,任何一个系统的信任边界崩溃,都可能成为全面渗透的入口。
收缩权限,是目前唯一的护城河
PromptArmor 在报告中还向微软揭露了另一个直接允许资料从 Copilot Cowork 沙盒环境外泄的漏洞;该问题独立于本次研究,目前已进入负责任揭露流程。
本次公开的攻击链,研究人员选择主动揭露而非等待修补,原因在于:该风险源自系统架构设计,而不是某个可修补的特定漏洞;用户需要在知情的情况下决定是否接受这个风险。
目前可采取的缓解措施主要是缩小代理人的行动半径。管理员可以通过 SharePoint 限制文件下载:设置 Set-SPOSite -Identity -BlockDownloadPolicy $true,或根据敏感性标签封锁下载功能。
代价是功能受损:用户在浏览器中只能查看文件,无法下载、打印或同步;包括 Word、Excel、PowerPoint 等所有 Microsoft 365 应用程序。
这也是 Microsoft Copilot 生态系统近期第二波重大安全问题。稍早的 EchoLeak(CVE-2025-32711)针对的是 Copilot 个人版的提示注入漏洞;Varonis 研究的 Reprompt 攻击(CVE-2026-24307)则揭示了类似的单击式资料外泄路径;Copilot Studio 的间接提示注入漏洞(CVE-2026-21520,CVSS 7.5)虽然已被修补,但同类问题在更广泛的 Copilot 产品线中仍未根除。
AI 代理人的能力边界,正在成为企业资安的新战场。
当某个工具能够代替你“做事”,它所需要的访问权限就会不可避免地扩张,而每一项被授予的权限,都是一条潜在的攻击向量。限制代理人的行动能力,本质上就是在限制它的使用价值;这种矛盾,目前没有人拥有完美答案。