Copilot Cowork 可被窃取文件

关键信息

报告指出，Copilot Cowork 可以在未经批准的情况下向用户收件箱发送消息，而这些消息在打开时若包含外部图片，就可能向攻击者控制的服务器发起请求。报告还提到，OneDrive 可以生成预先认证的下载链接，因此如果提示注入泄露了这些链接，攻击者就可能直接下载文件。

资讯摘要

Simon Willison 转述了一篇来自 Prompt Armor 的安全分析，内容涉及 Microsoft Copilot Cowork，而这确实是微软的一个真实产品名称。报告认为，代理型系统最难解决的问题之一，就是阻止攻击者利用它们进行数据外泄。这里的关键问题是，Copilot Cowork 据称可以在未经批准的情况下向用户自己的收件箱发送邮件。随后，这些邮件又会以一种可能通过消息中的外部图片泄露信息的方式被渲染出来。

当用户打开被篡改的消息时，图片加载可能会向攻击者控制的基础设施发起网络请求，从而暴露数据。报告还指出，一次成功的提示注入可能会导致 OneDrive 的预先认证下载链接被泄露。如果攻击者拿到这些链接，就可能在不需要用户凭据的情况下直接下载文件。整体来看，这一发现表明，提示注入、邮件渲染和云共享能力的组合，能够形成一条可行的文件外泄路径。

资讯正文

微软 Copilot Cowork 泄露文件

设计智能体系统时，最大的挑战始终是防止它们让攻击者得以外泄数据。

在这个案例中，Microsoft Copilot Cowork（没错，<a href="https://www.microsoft.com/en-us/microsoft-365/blog/2026/03/09/copilot-cowork-a-new-way-of-getting-work-done/">这是一个真实的产品名</a>）允许智能体在未经批准的情况下向用户自己的收件箱发送电子邮件……但随后这些消息会以一种可能通过渲染后的图片向攻击者泄露数据的方式显示：

<blockquote>

<p>由于这些消息可以包含会向外部网站触发网络请求的外部图片，因此当用户打开由智能体发送的、已被入侵的消息时，数据就可能被外泄。</p>

</blockquote>

由于 OneDrive 可以创建预认证下载链接，一次成功的提示注入就可能导致这些链接被泄露，从而让攻击者能够下载文件。

Via <a href="https://news.ycombinator.com/item?id=48272354">Hacker News</a>

来源与参考

1. 原始链接
2. Microsoft Copilot Cowork Exfiltrates Files