Майкрософт Копилот Коворк можно обмануть для утечки конфиденциальных файлов, утверждает отчет
Майкрософт Копилот Коворк под угрозой утечки файлов
Новый отчет утверждает, что Майкрософт Копилот Коворк можно манипулировать так, чтобы он сливал конфиденциальные файлы из Майкрософт 365 через косвенную инъекцию подсказок, что подвергает предприятия значительному риску безопасности.
Вывод фокуса — на небезопасных автоматических подтверждениях действий при отправке электронной почты и сообщений в Тимс. По данным отчета, Копилот Коворк можно направить с помощью зараженного файла skill, содержащего инструкции по инъекции подсказок, что позволяет злоумышленнику выводить данные из арендованного пространства Майкрософт жертвы с использованием собственных прав агента и доступа к Microsoft Graph.
Копилот Коворк — это экспериментальная функция в Майкрософт 365, которая работает с правами пользователя и может читать и выполнять действия с данными по всему арендованному пространству. Исследователи утверждают, что атака срабатывала с высокой долей успеха даже против новейших моделей, включая Claude Opus 4.7.
Как работает атака
Документация Майкрософт говорит, что Копилот Коворк запрашивает разрешение перед выполнением чувствительных действий, таких как отправка почты или публикация в Тимс. Но отчет утверждает, что на практике сообщения, отправленные активному пользователю, выполняются немедленно без человеческого подтверждения. Пользователи также не могут изменить это поведение.
Это создает путь для вывода данных: скомпрометированное сообщение может включать внешние изображения или другой контент, который вызывает сетевые запросы при открытии в Аутлук или Тимс, позволяя запускать запросы под контролем злоумышленника. В отчете говорится, что Копилот Коворк также может получить предварительно аутентифицированные ссылки для скачивания файлов, к которым имеет доступ пользователь, и эти ссылки могут использовать любые получившие их лица для загрузки файла.
Сценарий жертвы, описанный в отчете, включает пользователя с доступом к файлам в SharePoint или OneDrive, содержащим PII и финансовые данные, который затем загружает файл skill в Копилот Коворк, содержащий внедренную подсказку.
Широкое воздействие на предприятия
Защитите свою приватность с Doppler VPN
3 дня бесплатно. Без регистрации. Без логов.
Исследователи говорят, что проблема не ограничивается одним источником инъекции. Похожие атаки могут исходить из веб-данных в инструментах типа Claude for Chrome или от подключенных MCP-серверов. Они утверждают, что риск отражает более широкую проблему: предоставление агентам доступа к множеству систем расширяет поверхность атаки инъекций подсказок, даже когда каждая отдельная возможность по отдельности кажется безобидной.
Отдельно от пути утечки через сообщения, исследователи говорят, что они также сообщили Майкрософт об уязвимости, которая напрямую позволяет вывод данных из песочницы Копилот Коворк.
Источники:
Просматривайте приватно с Doppler VPN — без логов, подключение в один тап.