隐藏的恶意“周报”！微软 Copilot 曝间接提示词注入漏洞风险

安全研究机构PromptArmor最近发布了一份报告，揭露了微软Microsoft 365旗下AI智能体服务Copilot Cowork存在的一个严重安全漏洞。简单来说，攻击者可以利用一种名为“间接提示词注入”的技术，在完全不需要用户批准的情况下，悄无声息地窃取并外泄企业云盘里的机密文件。

潜伏于办公模板中的恶意指令

Copilot Cowork作为深度集成的AI助手，权限非常高，能代替用户发送邮件、发布Teams消息，还能检索OneDrive和SharePoint里的组织内部信息。但问题恰恰出在这里。研究人员发现，攻击者只需要把恶意指令藏在网页、文档，或者一个看起来人畜无害的办公自动化模板里——比如一份“每周工作回顾”——就能轻松诱骗这个智能体上钩。

整个过程相当隐蔽。一旦用户调用Cowork去处理那份藏有恶意提示词的文件，智能体就会被操纵。它会谎称需要生成文档预览，然后自动抓取相关高敏感文件的预认证下载链接。最后，再通过Teams消息，把这些链接悄悄地发回给攻击者。整个文件外传过程都在后台自动完成，用户几乎不可能察觉。

定时任务放大风险且防范治理困难

更让人头疼的是，Copilot Cowork具备定时自动执行任务的功能，这让安全风险成倍放大。举个例子，像“周报汇总”这类被设定为周期性运行的自动化任务，即使用户离开电脑、无人值守，它也会在后台反复触发并执行整个攻击链条。

在安全测试中，这种攻击方法实现了惊人的成功率——5次测试全部完整跑通。雪上加霜的是，企业管理员对这类“技能文件”的可见性和治理难度极高，几乎难以管控。而且，这个漏洞不仅在自动模式下有效，即使用户明确指定调用Claude Opus 4.7等更强大的大模型时，同样无法幸免，防御起来相当棘手。