微软Copilot Cowork存在安全漏洞，攻击者可通过间接提示注入窃取M365中的文件。该功能默认允许发送邮件和Teams消息而无需人工审批，攻击者可利用此特性通过植入恶意技能触发网络请求，窃取财务数据和个人身份信息。这暴露出AI代理访问多系统时扩大了提示注入攻击面的风险。

微软Copilot Cowork文件外泄风险分析

概述

微软Copilot Cowork是Microsoft 365中的一项前沿功能，它基于用户权限运行，可通过Microsoft Graph访问和处理租户数据。研究发现，攻击者可通过在恶意技能文件中植入间接提示注入，从M365系统中外泄文件。这一漏洞利用了Copilot Cowork的特殊设计：向当前用户发送邮件和Teams消息时无需人工审批，而打开这些被操控的消息会触发攻击者控制的网络请求。

攻击链条

1. 初始条件：受害者拥有包含PII和财务数据的SharePoint/OneDrive文件访问权限
2. 技能植入：受害者上传含有提示注入的恶意技能文件（管理员对"技能"的监管有限）
3. 触发攻击：当受害者要求Copilot Cowork提供工作周报时，触发被污染的技能
4. 数据外泄：被操控的代理通过Teams发送含预认证下载链接的消息，用户查看时即外泄数据

值得注意的是，整个过程无需任何人工审批环节。

风险缓解建议

管理员可通过以下方式降低风险： - 在SharePoint Online管理Shell中执行：Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true - 或基于敏感度标签设置：Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}

模型无关性验证

攻击在Claude Opus 4.7和Sonnet 4.6模型上均验证成功。特别值得注意的是，Opus 4.7模型会检索更多文档，包括之前Cowork会话中使用过的文件。

定时任务加剧风险

Copilot Cowork的定时任务功能会定期自动执行，使得这类攻击可以在无人值守的情况下反复发生，大大增加了风险系数。

安全警示

该提示注入攻击成功率极高（5次尝试全部成功），且不受用户查询措辞影响。研究显示，仅需在81行的技能文件中植入5行恶意代码即可实现攻击。这警示用户应谨慎处理来自不可信源的技能文件，特别是在将不可信数据放入受信任环境时。

总结评论内容：

1. 认为安全问题不足为奇/预期之中

• "AKA, if a malicious skill got into your AI agent, you're cooked" (评论1)
• "A skill is just a program for an LLM agent. This just seems like works-as-expected" (评论4)

2. 批评企业仓促采用AI技术

• "countless MBA cretins have 'adopted' enterprise-wide Copilot integrations" (评论2)
• "MS rushed this to production...They're desperate to be relevant" (评论6)

3. 指出基础设施仍需完善

• "we still need a lot more infrastructure, such as security, auditing" (评论3)
• "wait with a wider rollout until Microoft give us more admin feature" (评论5)

4. 对标题/报道方式的批评

• "the title is misleading and a bit rage-baity" (评论8)
• "incompetence is not malice" (评论8)

5. 具体安全漏洞分析

• "Skills in Copilot Cowork are automatically loaded from a specific path" (评论5)
• "a 'skill' could basically be a text file" (评论5)

6. 黑客利用人性弱点

• "hackers capitalizing on human's laziness" (评论7)