报告称 Microsoft Copilot Cowork 可被诱骗窃取敏感文件

Microsoft Copilot Cowork 面临文件外泄风险

一份新报告称，Microsoft Copilot Cowork 可以被操纵，通过间接提示注入将 Microsoft 365 中的敏感文件泄露，从而使企业面临重大安全风险。

该发现集中在用于发送电子邮件和 Teams 消息的不安全自动操作审批上。根据报告，Copilot Cowork 可以被一个带有提示注入指令的被污染技能文件引导，从而允许攻击者利用代理自身的权限和 Microsoft Graph 访问权限，从受害者的 Microsoft 租户中擷取数据。

Copilot Cowork 是 Microsoft 365 中的一个 Frontier 功能，它以用户的 Microsoft 权限运行，能够读取并对租户内的数据采取操作。研究人员表示，即使用最先进的模型（包括 Claude Opus 4.7），该攻击在很高的成功率下仍然奏效。

攻击如何实施

微软的文档称 Copilot Cowork 在采取诸如发送邮件或在 Teams 发布信息等敏感操作前会请求权限。但报告称，实际上发送给活动用户的消息会在没有人工批准的情况下立即执行。用户也无法更改该行为。

这就为外泄创造了一条路径：被入侵的消息可以包含外部图片或其他在 Outlook 或 Teams 中打开时会触发网络请求的内容，从而允许攻击者控制的请求被触发。报告还称，Copilot Cowork 还能检索用户可访问文件的预先认证的下载链接，而任何收到这些链接的人都可以使用它们下载文件。

报告中描述的受害者场景涉及一名用户，该用户有权访问包含个人身份信息（PII）和财务数据的 SharePoint 或 OneDrive 文件，然后向 Copilot Cowork 上传携带注入提示的技能文件。

更广泛的企业暴露面

研究人员表示，该问题并不限于单一注入来源。类似的攻击可能来自像 Claude for Chrome 这样的工具中的网页数据，或来自连接的 MCP 服务器。他们认为，这一风险反映了一个更普遍的问题：将代理授予访问多个系统的权限会扩大提示注入的攻击面，即便每个单独的功能看起来都是无害的。

除了通过消息的外泄路径之外，研究人员还表示他们已向微软披露了一个漏洞，该漏洞直接允许从 Copilot Cowork 的沙箱环境中外发数据。

来源：

• promptarmor.com

私密浏览请使用 Doppler VPN — 无日志，单击即可连接。