解决方案行业合作伙伴资源预约演示威胁情报万物代码索引泄露关联数据Microsoft Copilot Cowork 泄露文件Ramp 的表格 AI 泄露财务数据Snowflake Cortex AI 逃出沙盒并执行恶意软件GitHub Copilot CLI 下载并执行恶意软件消息应用程序中代理的数据泄露Claude Cowork 泄露文件Superhuman AI 泄露电子邮件IBM AI“Bob”下载并执行恶意软件Notion AI数据泄露HuggingFace Chat 泄露数据vLex以 10 亿美元收购的法律 AI中的屏幕接管攻击Google Antigravity 泄露数据CellShockClaude AI 擅长窃取数据通过注入的市场插件劫持 Claude 代码通过间接提示注入从 Slack AI 泄露数据通过间接提示注入从 Writer.com 泄露数据威胁情报目录Microsoft Copilot Cowork 泄露文件由于在发送电子邮件和 Teams 消息时存在不安全的自动操作批准机制Microsoft Copilot Cowork 容易受到通过间接提示注入进行的文件泄露攻击。针对包括 Claude Opus 4.7 在内的先进模型这种攻击的成功率很高。概述Copilot Cowork 是 Microsoft 365 中现有的前沿功能。它使用用户的 Microsoft 权限运行并可以利用 Microsoft Graph 读取和操作其 Microsoft 租户中的数据。在本文中展示了攻击者可以通过在受污染的技能中进行间接提示注入从 M365 中泄露文件。这是利用了这样一个事实与其他敏感操作不同向活跃用户发送电子邮件和 Teams 消息无需人工批准并且在 Teams 或 Outlook 中打开受感染的消息会触发攻击者控制的网络请求。这种风险表明让代理访问多个系统会扩大提示注入攻击面。孤立来看代理的预期功能是无害的然而由于集成系统的特性用户面临风险。这让人想起之前关于通信应用程序中的 URL 预览如何成为代理的数据出口表面的研究。由于这种风险与代理在整个企业生态系统中以委托权限运行的系统设计有关而非特定的漏洞公开这项研究旨在让用户了解使用此类代理产品所面临的风险。除了这种风险还向 Microsoft 披露了一个直接允许数据从 Copilot Cowork 的沙盒环境流出的漏洞。攻击链Microsoft 关于操作批准的文档指出“[Copilot] Cowork 在执行敏感操作如发送电子邮件或在 Teams 中发布消息之前会征求你的许可。”然而实际上当收件人为活跃用户时这些操作会立即执行无需人工批准用户无法通过设置修改此行为。由于这些消息可以包含外部图像这些图像会触发对外部网站的网络请求因此当用户打开代理发送的受感染消息时数据就可能被泄露。Copilot Cowork 可以获取用户有权访问的文件的“预认证下载链接”任何打开该链接的人都可以下载该文件。因此被操纵的代理可以通过泄露预认证下载链接来泄露文件。受害者可以访问存储在 SharePoint 或 OneDrive 中包含个人身份信息和财务数据的文件受害者将包含提示注入的技能文件上传到 Copilot Cowork。在一般情况下这种情况很常见用户在网上找到一个文件并将其作为技能上传。这种攻击并不依赖于注入源其他注入源包括但不限于Claude for Chrome 的网络数据、连接的 MCP 服务器等。注意管理员对“技能”的监督有限因为 Copilot Cowork 中的技能会自动从用户 OneDrive 的特定路径加载。受害者要求 Microsoft Copilot Cowork 回顾本周的工作从而触发该技能注入操作操纵 Microsoft Copilot Cowork 发布一条 Teams 消息当该消息被查看时会泄露预认证的文件下载链接。注入内容告诉 Copilot Cowork 存在一个服务可以为回顾消息创建文档预览为此代理会为每个文件获取预认证的文件下载链接并通过恶意 HTML 图像标签将这些 URL 作为查询参数传递给攻击者控制的网站。在这个过程中任何时候都不需要人工批准。如果展开“任务完成”块就可以看到代理的操作过程——但即使点击 Teams 操作恶意消息内容也永远不会显示。当用户打开他们的 Teams 消息时预认证的下载链接被泄露攻击者可以通过访问该链接下载文件为你的组织降低风险Microsoft Copilot Cowork 可以通过 Microsoft Graph 访问用户几乎所有的资源。因此降低此类攻击影响范围的主要方法是限制在 Microsoft 生态系统中的过度权限设置。为了限制用户获取文件的预认证下载链接的能力管理员可以在 SharePoint Online 管理外壳中运行命令来限制从 SharePoint 下载文件Set - SPOSite - Identity SiteURL - BlockDownloadPolicy $true。或者根据敏感度标签进行阻止Set - Label - Identity label - AdvancedSettings {BlockDownloadPolicytrue}。注意此配置会影响功能文档指出对于遵循“BlockDownloadPolicy”策略的文件“用户只能通过浏览器访问无法下载、打印或同步文件。他们也无法通过应用程序包括 Microsoft 365 应用程序如 Word、Excel、PowerPoint 等访问内容。”与模型无关的利用攻击链最初是在模型选择设置为“自动”的情况下进行的该设置会在 Claude Opus 4.7 和 Claude Sonnet 4.6 之间动态路由。然而通过直接设置模型明确验证了在更高级的 Opus 4.7 模型上使用完全相同的注入也能成功实施攻击。Opus 4.7 在搜索最近编辑的文档时更加全面它将泄露范围扩大到本周之前 Copilot Cowork 会话中使用的每个文档以及在模型设置为“自动”时发现的更典型文档位置中的文件。提示注入效果这种提示注入效果非常好注意到 Copilot Cowork 在每次试验5 次试验全部成功中都完成了整个攻击链。此外攻击并不取决于用户查询的具体措辞——只要模型调用了该技能注入就会成功。注入内容在一个 81 行的技能文件中占 5 行所有行的长度与其他行相当。这表明即使使用最新的模型仅使用一小段恶意文本间接提示注入也可以劫持代理的行为。因此敦促读者在处理不可信数据如在线共享的技能时要谨慎——尤其是当不可信数据被放入可信环境如技能文件中时。定时任务加剧风险在 Copilot Cowork 中用户可以创建定时任务。定时任务是一种无需用户监督即可定期执行的提示。本文中描述的“每周回顾”行为正是用户可能会使用定时任务自动化的任务类型。定时任务显著增加了此类攻击的风险面因为用户不在场阻止恶意工作流程并且提示注入可以反复生效。