安全研究公司Prompt Armor近日披露了Microsoft Copilot Cowork的一个严重安全漏洞。攻击者可以通过间接提示注入(Indirect Prompt Injection)手段,利用Copilot Cowork的自动操作审批机制,窃取用户的敏感文件并通过邮件或Teams消息外发。
漏洞原理
Copilot Cowork是微软推出的一款AI协作工作区,允许AI助手自动执行一系列操作,包括读取文件、发送邮件和Teams消息等。问题出在自动操作审批机制上——系统默认允许AI自动执行发送邮件和Teams消息的操作,无需用户逐一确认。
攻击者可以在共享文档中嵌入隐藏的恶意指令(提示注入)。当Copilot处理这些文档时,会将隐藏指令当作合法指令执行,从而:
- 读取用户有权访问的敏感文件
- 将文件内容通过邮件或Teams消息发送给攻击者
- 整个过程对用户完全不可见
攻击场景
想象这样一个场景:公司内部共享了一份看似正常的项目文档,但其中隐藏了精心构造的提示注入指令。当团队成员使用Copilot Cowork处理这份文档时,AI助手可能会在用户不知情的情况下:
- 扫描用户邮箱和OneDrive中的敏感文件
- 将财务报表、合同草案等文件内容提取出来
- 通过Teams消息或邮件发送给外部地址
由于Copilot Cowork默认信任邮件和Teams消息的自动发送操作,整个攻击链无需任何用户交互。
影响范围
该漏洞影响所有使用Microsoft Copilot Cowork的企业用户,特别是:
- 启用了自动操作审批的组织
- 在团队间共享文档的协作环境
- 拥有敏感文件访问权限的知识工作者
微软的回应
Prompt Armor已向微软安全响应中心(MSRC)报告了该漏洞。目前微软正在评估修复方案,建议用户采取以下临时缓解措施:
- 限制自动操作审批:在Copilot管理设置中,关闭邮件和Teams消息的自动发送权限
- 审查共享文档:对来自外部或不可信来源的文档保持警惕
- 最小权限原则:限制Copilot可访问的数据范围,仅授予必要的Graph和连接器权限
- 启用管理员审批:对敏感操作要求管理员级别的确认
更广泛的AI安全启示
这并非个例。2026年以来,Prompt Armor已先后披露了Claude Cowork和Microsoft Copilot Cowork的类似漏洞。间接提示注入已成为AI协作工具面临的最普遍安全威胁:
- 攻击门槛极低:只需在文档中嵌入隐藏文本,无需任何技术技能
- 影响面广:任何处理外部文档的AI工具都可能受影响
- 防御困难:传统的安全边界在AI协作场景下被重新定义
对于站长和开发者而言,这一事件再次提醒我们:在部署AI协作工具时,安全配置必须先行。不要盲目信任默认设置,尤其是涉及数据访问和外发操作的自动化功能。
参考资料
- Prompt Armor – Microsoft Copilot Cowork Exfiltrates Files
- Windows Forum – Reprompt Attack Discussion
- Prompt Injection – AI Vulnerability Tracker
本文参考来源:Microsoft Copilot Cowork Exfiltrates Files – Prompt Armor
暂无评论内容