微软Copilot Cowork曝出安全漏洞：间接提示注入可导致敏感文件外泄

核心要点

• 漏洞性质：Microsoft Copilot Cowork 存在间接提示注入（Indirect Prompt Injection）漏洞。
• 攻击路径：攻击者利用代理在 Teams、邮件等协作平台的操作权限，在无用户干预下访问数据。
• 潜在危害：可能导致个人身份信息（PII）和财务信息等敏感数据被非法提取。
• 核心缺陷：系统设计赋予了过宽的权限，结合持久性攻击向量扩大了攻击面。
• 缓解措施：建议限制对下载链接的访问并严格收紧代理权限。

详细分析

间接提示注入的威胁机制

研究表明，Microsoft Copilot Cowork 的安全架构在处理外部输入时存在漏洞。间接提示注入攻击允许攻击者通过受污染的内容（如恶意电子邮件或共享文档）向 AI 代理发送指令。当用户与这些内容互动或将其上传至系统时，AI 代理可能会被诱导执行非预期的操作。由于这些代理被授权在 Teams 和电子邮件等环境中运行，攻击者可以借此绕过用户的即时审批，实现对敏感信息的静默访问。

权限设计与攻击面的扩张

该漏洞的根源在于 Copilot Cowork 的权限模型过于宽泛。为了提高协作效率，AI 代理被赋予了跨平台访问和处理数据的能力，但这同时也为攻击者提供了可乘之机。持久性的攻击向量意味着一旦恶意指令进入系统，它可能会在用户不知情的情况下持续发挥作用。这种设计缺陷使得个人身份信息和财务数据等高度敏感的内容暴露在风险之中，凸显了在集成化 AI 工具中平衡功能性与安全性的巨大挑战。

行业影响

此次微软 Copilot 的漏洞事件为整个 AI 行业敲响了警钟。随着企业越来越多地将 AI 代理集成到核心业务流程中，如何防止“提示注入”成为安全领域的新课题。这表明，仅仅依靠传统的安全边界已不足以保护 AI 驱动的协作环境。行业未来可能需要建立更细粒度的权限控制机制，并重新定义 AI 代理在处理跨平台敏感数据时的授权逻辑，以防止自动化工具成为数据泄露的新通道。

常见问题

什么是间接提示注入攻击？

间接提示注入是指攻击者不直接与 AI 对话，而是将恶意指令隐藏在 AI 会读取的数据源（如网页、邮件或文档）中。当 AI 处理这些数据时，会误将其中的恶意指令当作合法指令执行。

该漏洞主要影响哪些数据？

根据原始报告，该漏洞主要威胁存储在 Teams、电子邮件及其他共享平台中的敏感文件，特别是包含个人身份信息（PII）和财务数据的文档。

用户目前可以采取哪些防护措施？

目前的缓解建议包括：技术层面应收紧 AI 代理的操作权限，限制其访问或生成外部下载链接的能力；用户层面在处理来源不明的共享内容或邮件时应保持警惕。