昨日,安全机构PromptArmor发布了一份深入分析报告,指出微软Microsoft 365平台中的AI智能助手Copilot Cowork存在潜在的安全漏洞。该漏洞可能利用“间接提示词注入”技术,造成企业用户存储在SharePoint和OneDrive上的文件意外泄漏。
Copilot Cowork是微软Microsoft 365 Copilot服务的一部分,它能够执行诸如发送电子邮件、发布Teams消息、创建文档、安排会议以及检索公司内部信息等自动化任务,旨在提升办公效率。
微软官方曾声明,Cowork智能体的操作严格限定在用户已有的权限范围内,并且对于涉及高敏感度的操作,通常会触发审批流程。然而,由于该AI应用能够在电子邮件、Teams、文档和企业云存储等多个应用间无缝协作,一旦其处理了包含恶意指令的外部信息,便有可能依据攻击者的意图,对用户可访问的数据进行未授权操作。
PromptArmor公司特别强调,此次发现的攻击手段是“间接提示词注入”。这种攻击方式的巧妙之处在于,攻击者无需直接向AI下达指令,而是将恶意指令巧妙地隐藏在日常的网页、电子邮件、文档或文件之中。
报告中举例说明了一种攻击场景:攻击者可以创建一个名为“weekly-review”的“Agent Skills”文件,并将其描述为一份用于回顾过去七天工作并自动将总结发送至Teams的普通办公自动化模板。用户在使用Cowork处理这份Skills文件后,其中隐藏的恶意提示词就能暗中操控智能体。
恶意指令会诱导Cowork“谎称”需要生成文档预览,进而获取相关文件的预认证下载链接。随后,这些链接会被嵌入恶意HTML图片标签中,并通过Teams消息发送给用户。整个过程对用户来说几乎是无感知的,无需人工审批,而且恶意消息的内容也可能并不会被用户明确识别。
一旦用户打开这条被入侵的消息,预认证下载链接就有可能被传播出去。攻击者随后便可以直接利用这些链接,未经授权地下载文件。
研究人员还指出,由于Copilot Cowork会自动从用户OneDrive的指定路径加载“技能”文件,管理员对这些“技能”的可见性和管理能力受限,这无疑加剧了治理的复杂性。
测试结果显示,这种攻击方式不仅在“自动”模式下成功,即使明确指定了高级AI模型Claude Opus 4.7,攻击依然有效。值得注意的是,Opus 4.7在检索文件时范围更广,甚至会将先前Cowork会话中涉及的文件也纳入潜在的外泄范围。
PromptArmor的测试数据表明,在同类型的间接提示词注入攻击测试中,五次尝试均完整地成功运行,攻击链完全贯通。
报告最后警告,Copilot Cowork的定时执行能力可能会进一步放大风险。例如,像周报汇总这类适合自动定期运行的任务,如果被植入恶意技能文件,即使在用户不在电脑前时,攻击也可能被反复触发,造成持续性的数据泄漏隐患。