江蘇
關鍵詞
機密文件
PromptArmor 昨日(5 月 25 日)發布博文,報道稱微軟 Microsoft 365 中 AI 智能體 Copilot Cowork 存在安全風險,可能因“間接提示詞注入”導致 SharePoint 與 OneDrive 文件外流。
安全圈注:Cowork 是微軟 Microsoft 365 Copilot 的智能體 AI 服務,可代替用戶發送郵件、發布 Teams 消息、創建文檔、安排會議和檢索組織內部信息等。
根據微軟官方說明,Cowork 只在用戶權限范圍內活動,涉及高敏感操作時應彈出審批對話框。不過問題是該 AI 智能體可以跨郵件、Teams、文檔與企業云盤協同工作,一旦讀入帶惡意指令的外部內容,就可能按攻擊者意圖操作用戶可訪問的數據。
PromptArmor 提到的攻擊方式是“間接提示詞注入”(Indirect Prompt Injection)。攻擊者不必直接給 AI 下命令,而是把惡意指令藏進網頁、郵件、文檔或文件中。
在其中一個示例中,通過 Agent Skills 文件傳播,表面上可命名為“weekly-review”,描述成回顧過去 7 天工作并把總結發到 Teams,看起來像普通辦公自動化模板。
用戶調用 Cowork 處理這個 Skills 文件之后,惡意提示詞可以操縱智能體,謊稱需要生成文檔預覽,繼而抓取相關文件的預認證下載鏈接,并把這些鏈接作為參數嵌入惡意 HTML 圖片標簽,最終通過 Teams 消息發回給用戶。
整個過程中無需人工批準,而且惡意消息內容未必會被用戶明顯看到。只要用戶打開這條被入侵的消息,預認證下載鏈接就可能被外傳,攻擊者隨后可直接訪問鏈接下載文件。
研究者還提到,管理員對“技能”的可見性有限,因為 Copilot Cowork 會從用戶 OneDrive 指定路徑自動加載技能,這進一步增加了治理難度。
測試結果顯示,該攻擊不只在 Auto 模式下成功,在明確指定 Claude Opus 4.7 時同樣成功,并且 Opus 4.7 會檢索更廣范圍的近期文檔,連先前 Cowork 會話涉及的文件也可能被納入外流范圍。
PromptArmor 表示,同一類間接提示詞注入測試中,5 次里有 5 次完整跑通攻擊鏈。
報告還提醒,Cowork 的定時執行能力會放大風險。像周報匯總這類任務本就適合自動運行,若惡意技能文件被設為周期任務,用戶不在屏幕前時也可能反復觸發。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
