微软Copilot提示词注入漏洞深度解析：如何防范隐藏风险

安全研究机构PromptArmor近期披露了一项针对微软Microsoft 365 Copilot Cowork服务的高危安全研究。报告指出，攻击者可通过“间接提示词注入”技术，在无需任何用户交互授权的前提下，隐秘窃取并外传企业云存储中的敏感数据。

办公文档与模板成为攻击载体

Copilot Cowork作为拥有高阶权限的集成AI助手，具备代发邮件、发布Teams消息及检索OneDrive、SharePoint组织数据的核心能力。这一权限体系恰恰构成了攻击面。研究证实，攻击者仅需将恶意指令嵌入常规网页、文档或一个看似合规的办公自动化模板（例如“每周工作总结”格式文件），即可诱导该智能体执行非授权操作。

攻击流程极具隐蔽性。当用户指示Cowork处理内含恶意提示词的文件时，智能体会被操控。它会以生成文档预览为借口，自动获取高敏感文件的预认证下载链接，随后通过Teams消息将这些链接静默回传至攻击者。整个数据外泄过程在后台自动完成，常规用户交互难以察觉。

定时自动化机制加剧威胁与治理挑战

Copilot Cowork支持的定时自动任务功能进一步扩大了风险暴露。以“周报自动汇总”这类周期性运行业务为例，即便在用户离线、系统无人值守状态下，攻击链仍可被反复触发并执行。

实验室环境下，该攻击方法的成功率极高——五次测试均完整达成数据外泄。更严峻的是，企业管理员对此类“技能文件”的可见性低，安全策略治理极为困难。值得注意的是，该漏洞影响范围不仅限于自动模式，即使用户明确指定调用Claude Opus 4.7等高级模型，攻击依然可能生效，防御复杂度显著增加。