最新研究显示，微软 Copilot Cowork 因邮件、Teams 消息自动执行审批机制存在重大安全缺陷，容易遭受文件窃取攻击。该攻击手段在多款顶尖大模型上均具备极高成功率， Claude Opus 4.7 也未能幸免。

Copilot Cowork 利用用户的 Microsoft 权限及 Microsoft Graph 读取和处理用户数据。研究人员演示了如何通过被投毒的“技能”（skill）文件中的间接提示注入，从 M365 环境中窃取文件。这一风险的核心在于，与其他敏感操作不同，向活跃用户发送电子邮件和 Teams 消息无需人工批准。一旦用户在 Teams 或 Outlook 中打开这些被篡改的消息，即可触发由攻击者控制的网络请求。

攻击链解析：无需批准的数据泄露

尽管微软文档指出 Copilot Cowork 在执行敏感操作前会征求许可，但在实践中，若收件人为活跃用户，操作将立即执行且无法通过设置修改。由于消息可能包含触发外部请求的图片，当用户查看由智能体发送的被篡改消息时，数据泄露随即发生。

高级模型亦难幸免

测试表明，该提示注入具有极高的有效性。在五次试验中，Copilot Cowork 均完整执行了攻击链。即使将模型固定为更先进的 Claude Opus 4.7，攻击依然成功。Opus 4.7 在搜索最近编辑文档方面更为全面，导致泄露范围扩大至上周所有 Copilot Cowork 会话中使用过的文档。

缓解措施与风险提示

鉴于 Copilot Cowork 通过 Microsoft Graph 几乎拥有用户对任何资源的读取权限，减少此类攻击影响的主要机制是限制用户在 Microsoft 生态系统中的过度权限。

管理员可通过在 SharePoint Online Management Shell 中运行以下命令来限制文件下载：

Set-SPOSite -Identity -BlockDownloadPolicy $true

或者基于敏感度标签进行阻止：

Set-Label -Identity -AdvancedSettings @{BlockDownloadPolicy="true"}

需注意，此配置会影响功能体验，受策略影响的文件仅能通过浏览器访问，无法下载、打印、同步或通过本地应用程序访问。

此外，Copilot Cowork 允许创建无需用户监督定期执行的“计划任务”。若此类任务被注入，用户不在场时将无法停止恶意工作流程，显著增加了风险面。研究人员敦促用户谨慎处理来自不可信源的技能文件，尤其是当这些数据被置于可信上下文中时。

【来源：星途科讯】