文章总结： PromptArmor报告指出微软Microsoft365CopilotCowork智能体存在间接提示词注入安全风险，攻击者可通过恶意技能文件操纵AI获取SharePoint与OneDrive文件预认证下载链接，并经由Teams消息外泄。测试显示该攻击在自动和指定模型模式下均成功，且定时执行功能会放大风险。建议加强技能文件审核与权限管控。 综合评分： 85 文章分类： AI安全,漏洞分析,数据安全,云安全,威胁情报

【安全圈】微软 Copilot Cowork 智能体 AI 曝安全风险，机密文件恐外泄

安全圈

2026年5月26日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

机密文件

PromptArmor 昨日（5 月 25 日）发布博文，报道称微软 Microsoft 365 中 AI 智能体 Copilot Cowork 存在安全风险，可能因“间接提示词注入”导致 SharePoint 与 OneDrive 文件外流。

安全圈注：Cowork 是微软 Microsoft 365 Copilot 的智能体 AI 服务，可代替用户发送邮件、发布 Teams 消息、创建文档、安排会议和检索组织内部信息等。

根据微软官方说明，Cowork 只在用户权限范围内活动，涉及高敏感操作时应弹出审批对话框。不过问题是该 AI 智能体可以跨邮件、Teams、文档与企业云盘协同工作，一旦读入带恶意指令的外部内容，就可能按攻击者意图操作用户可访问的数据。

PromptArmor 提到的攻击方式是“间接提示词注入”（Indirect Prompt Injection）。攻击者不必直接给 AI 下命令，而是把恶意指令藏进网页、邮件、文档或文件中。

在其中一个示例中，通过 Agent Skills 文件传播，表面上可命名为“weekly-review”，描述成回顾过去 7 天工作并把总结发到 Teams，看起来像普通办公自动化模板。

用户调用 Cowork 处理这个 Skills 文件之后，恶意提示词可以操纵智能体，谎称需要生成文档预览，继而抓取相关文件的预认证下载链接，并把这些链接作为参数嵌入恶意 HTML 图片标签，最终通过 Teams 消息发回给用户。

整个过程中无需人工批准，而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息，预认证下载链接就可能被外传，攻击者随后可直接访问链接下载文件。

研究者还提到，管理员对“技能”的可见性有限，因为 Copilot Cowork 会从用户 OneDrive 指定路径自动加载技能，这进一步增加了治理难度。

测试结果显示，该攻击不只在 Auto 模式下成功，在明确指定 Claude Opus 4.7 时同样成功，并且 Opus 4.7 会检索更广范围的近期文档，连先前 Cowork 会话涉及的文件也可能被纳入外流范围。

PromptArmor 表示，同一类间接提示词注入测试中，5 次里有 5 次完整跑通攻击链。

报告还提醒，Cowork 的定时执行能力会放大风险。像周报汇总这类任务本就适合自动运行，若恶意技能文件被设为周期任务，用户不在屏幕前时也可能反复触发。

END

阅读推荐

【安全圈】985博士为间谍偷拍涉密资料，被判15年

【安全圈】上海网警今年破获抢单外挂、私改计价器案15起，73人落网

【安全圈】已修复：微软 Win11 内核曝 7.8 高危漏洞

【安全圈】“DeepSeek崩了”再次登微博热搜

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软 Copilot Cowork 智能体 AI 曝安全风险，机密文件恐外泄》