IT之家 5 月 26 日消息,PromptArmor 昨日(5 月 25 日)发布博文,报道称微软 Microsoft 365 中 AI 智能体 Copilot Cowork 存在安全风险,可能因“间接提示词注入”导致 SharePoint 与 OneDrive 文件外流。
IT之家注:Cowork 是微软 Microsoft 365 Copilot 的智能体 AI 服务,可代替用户发送邮件、发布 Teams 消息、创建文档、安排会议和检索组织内部信息等。
根据微软官方说明,Cowork 只在用户权限范围内活动,涉及高敏感操作时应弹出审批对话框。不过问题是该 AI 智能体可以跨邮件、Teams、文档与企业云盘协同工作,一旦读入带恶意指令的外部内容,就可能按攻击者意图操作用户可访问的数据。
PromptArmor 提到的攻击方式是“间接提示词注入”(Indirect Prompt Injection)。攻击者不必直接给 AI 下命令,而是把恶意指令藏进网页、邮件、文档或文件中。
在其中一个示例中,通过 Agent Skills 文件传播,表面上可命名为“weekly-review”,描述成回顾过去 7 天工作并把总结发到 Teams,看起来像普通办公自动化模板。用户调用 Cowork 处理这个 Skills 文件之后,恶意提示词可以操纵智能体,谎称需要生成文档预览,继而抓取相关文件的预认证下载链接,并把这些链接作为参数嵌入恶意 HTML 图片标签,最终通过 Teams 消息发回给用户。
整个过程中无需人工批准,而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息,预认证下载链接就可能被外传,攻击者随后可直接访问链接下载文件。
研究者还提到,管理员对“技能”的可见性有限,因为 Copilot Cowork 会从用户 OneDrive 指定路径自动加载技能,这进一步增加了治理难度。测试结果显示,该攻击不只在 Auto 模式下成功,在明确指定 Claude Opus 4.7 时同样成功,并且 Opus 4.7 会检索更广范围的近期文档,连先前 Cowork 会话涉及的文件也可能被纳入外流范围。PromptArmor 表示,同一类间接提示词注入测试中,5 次里有 5 次完整跑通攻击链。报告还提醒,Cowork 的定时执行能力会放大风险。像周报汇总这类任务本就适合自动运行,若恶意技能文件被设为周期任务,用户不在屏幕前时也可能反复触发。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
