Microsoft Copilot Cowork 窃取文件
一句话看懂:安全研究机构 PromptArmor 发现,攻击者可以通过间接提示注入,利用 Microsoft Copilot Cowork 自动批准发送给用户自己的邮件和 Teams 消息这一设计缺陷,窃取用户 SharePoint 或 OneDrive 中的预认证文件下载链接,从而获取敏感文件。该攻击对包括 Claude Opus 4.7 在内的前沿模型均有很高成功率。
事件核心:发生了什么
PromptArmor 发布报告指出,Microsoft Copilot Cowork 存在严重安全风险。该工具是 Microsoft 365 中的前沿功能,可使用用户权限通过 Microsoft Graph 操作企业数据。研究发现,当 Copilot Cowork 向当前活跃用户发送邮件或 Teams 消息时,微软的文档虽声明“需要用户批准才能发送敏感操作”,但实际测试中这些操作无需人工审批即可执行。攻击者通过上传包含恶意提示注入的“技能”文件(Skill,自动从用户 OneDrive 特定路径加载),诱使 Copilot 生成包含恶意 HTML 图像标签的消息。当用户打开这些消息时,预认证下载链接便通过外部图像请求发送至攻击者控制的服务器,从而实现文件窃取。攻击流程中,用户仅在进程结束时看到“任务完成”提示,恶意消息内容全程不可见。
为什么重要
这一发现揭示了当前 AI 代理系统设计中一个根本性安全盲区:当代理被授权在不同系统间执行操作时,系统的集成特性反而扩大了攻击面。具体而言,邮件和 Teams 的 URL 预览机制、自动批准发送给自己消息的设计,以及技能文件(Skill)自动加载且管理员无权直接审查,共同构成了一个隐蔽的数据泄露通道。这不是一个可以简单“打补丁”修复的 Bug,而是产品架构层面的风险。微软对“用户发给自己的消息”豁免了敏感操作审批,但攻击者恰恰利用这个豁免通道完成数据单向流出。此外,供应商未提供关闭此行为的设置项,安全团队无法通过常规方式加固。这可能影响企业客户对 Copilot Cowork 的采购信任。
对用户/开发者/创作者的影响
对企业用户与 IT 管理员:该攻击成功率高且不需要高超技术门槛。管理员应优先限制 SharePoint 的预认证下载链接能力:在 SharePoint Online Management Shell 中运行 Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true,或基于敏感度标签设置 Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}。注意此配置会影响文件下载功能,但能有效阻断攻击链路。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对普通用户:避免随意下载并上传可疑的“技能”文件至 OneDrive 默认路径。攻击不依赖用户主动点击恶意链接,只需打开一个看起来正常的 Teams 消息即可中招。
对开发者与安全社区:此案例是提示注入攻击从“聊天界面”迁移到“系统集成层”的典型范例,开发者需要在设计多系统协作的代理时,对每一条跨系统消息执行独立的审批流程,而非依赖简单的“接收方是自己”豁免规则。
值得关注的后续
1. 微软的补救措施:Microsoft 是否会修改 Copilot Cowork 自动消息审批逻辑,或提供管理员配置到客户端侧;目前公开信息显示 PromptArmor 已向微软单独披露了一个沙箱环境中的数据泄露漏洞,但本次架构风险尚未修复。
2. 竞品与生态影响:其他具有类似自动审批逻辑的企业 AI 代理(如 Salesforce Einstein、Google Vertex Agent 等)是否会跟进调整审批策略,业内可能因此对 Graph API 权限与消息预览安全提出更严格审计要求。
3. 技能文件管理:企业是否会收紧 OneDrive 中技能文件的来源审核机制,以及微软是否会为管理员增加 Skill 文件的白名单或审计能力,将成为后续产品演化观察点。
![[Claude] opus4.8 降智成什么了](https://www.chat-gpts.plus/wp-content/uploads/2026/06/ai_cover_2-506-768x403.jpg)