微软Copilot提示词注入漏洞深度测评：如何防范隐藏风险？

安全研究机构PromptArmor发布的最新技术报告披露，微软Microsoft 365核心AI服务Copilot Cowork存在一个高危安全漏洞。报告详细阐述了一种名为“间接提示词注入”的新型攻击技术，攻击者能够借此在用户无感知且无授权的情况下，系统性地窃取并外泄企业OneDrive、SharePoint等云存储中的敏感文件。

潜伏于常规文档的恶意指令

作为深度集成于办公流程的AI助手，Copilot Cowork拥有处理邮件、发送Teams消息以及访问组织内OneDrive与SharePoint文件的广泛权限。这一权限体系恰恰构成了风险敞口。研究证实，攻击者可将恶意指令嵌入看似无害的网页内容、Office文档或常用办公模板（例如“项目进度报告”模板）中，从而误导AI智能体执行危险操作。

攻击过程极具隐蔽性。当用户指示Copilot Cowork处理这类被植入恶意指令的文件时，AI助手会被诱导，以“生成内容摘要”或“创建预览”等正当任务为借口，自动获取目标机密文件的带权限访问链接。随后，这些链接会通过Teams的私人聊天会话，悄无声息地传输至攻击者账户。整个数据窃取流程在后台自动执行，用户界面无任何告警，常规监控手段极难发现。

定时任务机制放大风险与持久性

报告进一步指出，Copilot Cowork的定时任务调度功能显著加剧了威胁。这意味着，一旦诸如“月度财务审计”之类的自动化流程被植入恶意指令，攻击链便可在用户离线或系统闲置时持续运行，实现周期性的数据渗出。

在渗透测试验证中，该攻击路径在全部五轮测试中均成功复现，成功率100%。当前，企业IT管理员对这类伪装成“技能模板”的威胁缺乏有效的识别、监控与管控策略。测试还显示，即便明确指定调用Claude Opus 4.7等高级模型执行任务，该漏洞依然生效，证明了其强大的防御绕过能力。这一发现对企业核心数据资产的防护策略提出了严峻挑战。