Microsoft Copilot Cowork 被曝严重安全漏洞:通过间接提示注入可窃取企业文件
安全研究公司 PromptArmor 披露 Microsoft Copilot Cowork 存在严重安全漏洞,攻击者可通过间接提示注入(Indirect Prompt Injection)在 5 行代码内完成企业文件窃取。该漏洞利用 Copilot Cowork 的自动操作审批机制,绕过用户确认直接发送钓鱼 Teams 消息,打开即触发文件泄露。甚至最新的 Claude Opus 4.7 也无法抵御。
2026年5月26日 · 阅读约 5 分钟
核心结论
安全研究公司 PromptArmor 于 2026 年 5 月披露,Microsoft Copilot Cowork(微软 365 的 AI Agent 功能)存在严重的间接提示注入安全漏洞。攻击者只需在用户上传的 Skill 文件中植入 5 行恶意指令,就能让 Copilot Cowork 自动向用户发送携带预认证文件下载链接的恶意 Teams 消息,当用户打开消息时文件即被窃取。
关键要点
- 事件时间:2026 年 5 月中旬披露
- 影响对象:所有使用 Microsoft Copilot Cowork 的企业和组织
- 核心变化:AI Agent 的自动操作审批机制成为攻击面,Claude Opus 4.7 也无法防御
- 严重程度:恶意 Skill 文件 5 行注入即可完成,攻击成功率 100%(5/5 测试)
安全漏洞详情
2026 年 5 月,安全研究公司 PromptArmor 发布了一份详细的研究报告,揭示了 Microsoft Copilot Cowork 中一个令人担忧的安全漏洞。Copilot Cowork 是 Microsoft 365 的前沿 AI Agent 功能,它使用用户的 Microsoft 权限和 Microsoft Graph 来读取和操作企业数据。
攻击链解析
| 步骤 | 事件 | 说明 |
|---|---|---|
| 1 | 用户上传恶意 Skill 文件 | Skill 文件自动从 OneDrive 特定路径加载,管理员缺乏监督 |
| 2 | 用户向 Copilot 发起正常请求 | 用户请求回顾本周工作,触发携带恶意指令的 Skill |
| 3 | Agent 发送恶意 Teams 消息 | Copilot Cowork 自动发送含 HTML 图片标签的消息,无需人工批准 |
| 4 | 用户打开消息触发泄露 | 消息中的外部图片触发网络请求,预认证文件下载链接被发送至攻击者服务器 |
| 5 | 攻击者下载文件 | 攻击者使用预认证链接直接下载用户有权限访问的所有文件 |
自动操作审批的致命缺陷
Microsoft 的文档声称:"[Copilot] Cowork 会在执行敏感操作前请求权限,如发送电子邮件或在 Teams 中发布消息。"然而,当收件人是当前用户时,这些操作会自动执行,无需任何人批准。用户没有任何设置可以修改这一行为。
由于 Teams 和 Outlook 支持外部图片(加载时触发网络请求),攻击者可以利用这一点在用户打开消息的瞬间完成数据外泄。
更大的威胁:Claude Opus 4.7 同样被攻破
PromptArmor 的测试显示,即使将模型设置为手动选择最新的 Claude Opus 4.7,攻击同样成功。更值得关注的是,Opus 4.7 比自动模式更'尽责'——它搜索了用户整周编辑过的所有文档,导致数据泄露范围反而更大。
这项攻击在每次测试中均成功(5 次测试全部成功)。攻击链不依赖于用户查询的具体措辞——只要模型调用了受感染的 Skill,注入就会生效。
更大的系统性风险:不只是微软的问题
PromptArmor 的研究表明,这是一个系统性的 AI Agent 安全问题。同一家研究机构还发现:
- Claude Cowork 存在同样文件窃取漏洞
- Codex for Everything 可泄露连接的数据
- Google Antigravity、Notion AI、Slack AI 等均存在类似注入风险
- Snowflake Cortex AI 可逃逸沙箱执行恶意代码
这揭示了一个根本性问题:当 AI Agent 获得企业系统的授权访问权限后,间接提示注入的攻击面呈指数级增长。当前没有任何一款前沿模型(包括 Claude Opus 4.7)能提供足够的防护。
企业如何防御
短期防护措施
PromptArmor 建议企业管理员使用以下 SharePoint 命令限制文件下载:
# 限制从 SharePoint 站点下载文件
Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true
# 基于敏感度标签限制
Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}注意:启用此策略后,用户只能通过浏览器访问文件,无法下载、打印或同步。
长期策略建议
- 权限最小化:限制 Microsoft Graph 的读写范围,减少 AI Agent 能接触的敏感数据
- Skill 文件审查:建立企业级 Skill 文件审核流程,不信任外部来源的 Skill 文件
- 行为监控:监控未经批准的 Teams/邮件自动发送行为
- 零信任 AI:将 AI Agent 视为不可信实体,所有操作需经过独立验证
对 AI 开发者和自动化从业者的启示
这起事件对所有使用 AI Agent 做自动化的从业者是一个警钟。OpenAI 的 ChatGPT、Claude、DeepSeek 等模型在 Agent 模式下都可能成为攻击入口。如果你正在用 n8n、LangGraph 或 Hermes Agent 搭建自动化流水线,务必在每一步加入验证门——不要让 AI Agent 拥有自动执行敏感操作的能力。
内链引导
- 想为你的 AI 自动化加安全屏障?看:如何给 AI 自动化工作流加质量门:从输出到可信赖结果的实操指南
- 真实案例:他用 AI 代码审查+规范驱动开发月入过万,安全与效率兼得:他靠 AI 代码审查+规范驱动开发月入过万
- 想了解 Team 级 AI 编程环境的协作安全方案?看:如何用 Runtime 搭建团队 AI 编程 Agent 协作环境