# Microsoft Copilot Cowork 遭间接提示注入:文件外泄成功率 100% > 安全公司 PromptArmor 实证发现,Microsoft Copilot Cowork 对间接提示注入攻击「完全无防御」——5/5 次测试全部成功窃取 SharePoint/OneDrive 文件,即使是当前最先进的 Claude Opus 4.7 也无法抵挡。 ## 事件核心 2026 年 5 月,安全研究公司 PromptArmor 披露了 Microsoft Copilot Cowork 中的一个严重安全漏洞。攻击者通过向目标用户的 OneDrive 植入一个「中毒的 Skill 文件」(仅含 5 行注入指令的 81 行 Yaml 文件),即可在用户向 Copilot 发起正常查询时触发文件外泄——整个过程无需人工审批、无需用户点击恶意链接、无需受害者犯任何错误。 该攻击利用了 Copilot Cowork 的一个核心设计特点:向**活跃用户本人**发送 Teams 消息时**自动授予审批**,无需二次确认。 ## 关键数据 - **成功率**:5/5 次测试全部成功,包括针对 Claude Opus 4.7 和 Claude Sonnet 4.6 - **注入体积**:仅 5 行代码插入到 81 行的 Skill 文件中,滥用者难以察觉 - **攻击耗时**:从受害者上传 Skill 文件到文件外泄,可在数秒内自动完成 - **Opus 4.7 表现**:比 Sonnet 4.6「更彻底」——外泄了当周所有 Cowork 会话中使用过的文档及常见位置的敏感文件 - **前序漏洞 EchoLeak**:CVE-2025-32711,CVSS 9.3(严重),零点击提示注入,78% 外泄成功率 ## 背景与上下文 这个漏洞不是孤立事件。它属于 Microsoft 365 Copilot 生态系统中一系列提示注入漏洞的最新一环: 1. **2024 年 8 月**:Johann Rehberger 披露 ASCII Smuggling 技术,微软修补 2. **2025 年 6 月**:EchoLeak(CVE-2025-32711,CVSS 9.3)零点击注入,Aim Security 发现 3. **2026 年 5 月**:Copilot Cowork Skill 注入攻击,PromptArmor 披露 安全学者 Simon Willison 提出的 **「致命三重条件」(Lethal Trifecta)** 框架精准预测了这一漏洞: | 条件 | Copilot Cowork 状态 | |------|-------------------| | ① AI 可访问私密/敏感数据 | ✅ 通过 M365 Graph 访问邮件、文档、Teams、日历 | | ② AI 在同一上下文中摄取不可信外部内容 | ✅ 邮件、Skill 文件、网页、插件响应均自动进入上下文 | | ③ AI 有可用的外泄通道 | ✅ Markdown 图片、HTML ``、Teams 消息链接预览 | 「当三个条件同时存在时,没有任何程度的提示工程、安全训练或指令微调能够阻止数据窃取。这些条件是架构性的,而非行为性的。」 ## 行业影响 对 **AI Agent 安全设计**构成根本性挑战: - **架构问题而非行为问题**:LLM 无法区分「待处理数据」与「待执行指令」,这是一个基础性的技术限制,而非通过更好训练可以解决的 - **授权模型缺陷**:Copilot Cowork 继承了用户通过 Microsoft Graph 拥有的**每一个共享权限**——包括过期 Teams 成员资格、组织级 SharePoint 站点和「Anyone with the link」链接 - **Skill 文件缺乏审查**:微软官方承认「用户创建的 Custom Skills 未经微软验证」且自动从 OneDrive 加载 - **企业级威胁**:计划任务可加剧风险——中毒 Skill 被定时任务触发时,外泄在无人场景下自动发生 ## 不同视角 微软尚未就此漏洞发布正式回应。PromptArmor 建议的缓解措施包括:限制 Graph 权限、通过 SharePoint 管理 Shell 阻止预认证下载链接、将 Skill 提交改为审批制、对所有写操作禁止「Don't ask again」选项。但安全社区普遍认为,这些缓解措施属于「打补丁」而非从根本上解决问题——只要 LLM 的架构设计不区分数据和指令,「致命三重条件」就会持续存在。 --- ## 参考链接 - [PromptArmor:Microsoft Copilot Cowork Exfiltrates Files](https://www.promptarmor.com/resources/microsoft-copilot-cowork-exfiltrates-files) - [DEV Community:Microsoft Copilot just exfiltrated a company's files…](https://dev.to/layzerzero105/microsoft-copilot-just-exfiltrated-a-companys-files-a-deep-dive-into-copilot-cowork-security-analyzed-2gpf) - [Arun Baby:Indirect prompt injection – the attack vector hiding in your data](https://arunbaby.com/indirect-prompt-injection-attack-vector-hiding-in-data/)