Copilot Cowork是微软365的前沿特性,依托用户权限与Microsoft Graph访问租户数据。研究发现,攻击者可通过中毒技能中的间接提示注入手段,泄露M365文件。这是因为向活跃用户发送邮件或Teams消息无需人工审批,用户打开消息时就会触发攻击者控制的网络请求。该风险并非来自特定漏洞,而是多系统集成导致攻击面扩大所致;研究团队已向微软披露了沙箱数据泄露漏洞。
攻击链的具体流程是这样的:受害者在SharePoint或OneDrive中存有包含敏感数据的文件;攻击者上传带有注入内容的技能文件(管理员对技能的监督通常较为有限);接着请求周回顾以触发该技能;注入的内容会操纵Copilot发送含恶意图片的Teams消息,图片URL中包含预认证下载链接;最后用户打开Teams消息时,敏感数据就会被泄露。整个过程无需任何人工批准,且恶意内容对用户来说是不可见的。
缓解这一风险的措施包括限制权限,例如通过SharePoint命令阻止文件下载。测试显示,这类攻击对Claude Opus 4.7等模型有效,其中Claude Opus 4.7泄露的文件数量更多。提示注入的5次试验全部成功,且仅需少量恶意文本即可实现。无人监督的定时任务会重复执行攻击,进一步加剧了风险。
快报