隐藏的恶意“周报”！微软 Copilot 曝间接提示词注入漏洞风险

隐藏的恶意“周报”！微软 Copilot 曝间接提示词注入漏洞风险

一句话看懂：安全研究机构 PromptArmor 发现，攻击者可通过在文档或网页中隐藏恶意指令，利用微软 Copilot Cowork 的自动任务功能，在用户无感知的情况下窃取 OneDrive 和 SharePoint 中的机密文件。该漏洞在测试中实现了 100% 的攻击成功率，且管理员难以察觉和阻断。

事件核心：发生了什么

PromptArmor 于 5 月 26 日发布报告称，作为 Microsoft 365 内置 AI 助手的 Copilot Cowork，因其拥有发送邮件、Teams 消息和检索 OneDrive/SharePoint 内部信息等高权限，面临严重的间接提示词注入风险。具体攻击方式为：攻击者将恶意指令嵌入看似无害的办公自动化模板（如“周报”）或网页中。当用户要求 Cowork 处理这些文件时，AI 会被诱导声称需要生成文档预览，随后自动获取敏感文件的预认证下载链接，并通过 Teams 消息将链接发送给攻击者，整个过程在后台静默完成。报告特别指出，由于 Cowork 支持自动定时执行任务（例如“每周总结”），攻击链可以在用户远离屏幕时反复触发，进一步加剧风险。在安全测试中，该攻击方法在五次测试中均成功。

为什么重要

这是目前公开信息中，针对企业级 AI 助手最具实用性的攻击案例之一。它直接暴露了微软 Copilot 权限体系中的一个结构性弱点：当 AI 代理被赋予了读写邮件、聊天和云盘等核心生产力工具的高权限后，传统基于用户显式授权的安全边界被绕过。攻击者不再需要直接攻破用户账户，而是通过操纵 AI 的“行动逻辑”来窃取数据。这对于所有正在将 AI 代理（Agent）集成到办公流程中的企业来说，意味着必须重新评估“自动执行任务”带来的安全成本。这一事件也可能促使微软及行业对手调整 AI 代理的权限模型和内容审计策略。

对用户/开发者/创作者的影响

对于企业用户和IT管理员：应立即审阅当前 Copilot Cowork 的定时任务配置，尤其关注那些被设置为自动处理外部来源文件（如共享文档、邮件附件、公共网页）的任务。管理员需意识到，常规的恶意软件扫描无法检测嵌入在文本中的提示词注入指令，需要引入针对 AI 提示词的特殊内容安全策略。

AI 工具推荐

想把多个 AI 模型放在一个入口？

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型，适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接：通过此链接购买，我可能获得佣金，不影响你的价格。

对于AI应用开发者：本案例是一个明确警示：在构建具有工具调用（Tools calling）能力的大模型应用时，必须对“行动”指令进行隔离和验证，不能盲目信任大模型基于上下文生成的代码或链接输出。可以考虑增加“用户确认”环节，尤其是对于发送消息、获取文件链接等高危操作。

值得关注的后续

目前有三个关键观察点：第一，微软是否会在 Copilot 的“行动”层加入内容白名单或指令溯源机制，以阻止从非信任源触发的自动文件泄露。第二，PromptArmor 所指的“管理者可见性极低”问题，是否会促使微软在 M365 管理中心增加专门针对 AI 代理行为的安全日志。第三，此漏洞在调用 Claude Opus 4.7 等更强模型时依然有效，这表明安全问题不局限于某一模型，而是 AI Agent 架构本身的固有风险，后续竞品厂商（如 Google、Salesforce）是否会跟进发布类似的风险预警。

来源：AIbase