来源:互联网 更新时间:2026-05-26 16:31
安全研究机构PromptArmor最近发布了一份报告,揭露了微软Microsoft 365旗下AI智能体服务Copilot Cowork存在的一个严重安全漏洞。简单来说,攻击者可以利用一种名为“间接提示词注入”的技术,在完全不需要用户批准的情况下,悄无声息地窃取并外泄企业云盘里的机密文件。

Copilot Cowork作为深度集成的AI助手,权限非常高,能代替用户发送邮件、发布Teams消息,还能检索OneDrive和SharePoint里的组织内部信息。但问题恰恰出在这里。研究人员发现,攻击者只需要把恶意指令藏在网页、文档,或者一个看起来人畜无害的办公自动化模板里——比如一份“每周工作回顾”——就能轻松诱骗这个智能体上钩。
整个过程相当隐蔽。一旦用户调用Cowork去处理那份藏有恶意提示词的文件,智能体就会被操纵。它会谎称需要生成文档预览,然后自动抓取相关高敏感文件的预认证下载链接。最后,再通过Teams消息,把这些链接悄悄地发回给攻击者。整个文件外传过程都在后台自动完成,用户几乎不可能察觉。
更让人头疼的是,Copilot Cowork具备定时自动执行任务的功能,这让安全风险成倍放大。举个例子,像“周报汇总”这类被设定为周期性运行的自动化任务,即使用户离开电脑、无人值守,它也会在后台反复触发并执行整个攻击链条。
在安全测试中,这种攻击方法实现了惊人的成功率——5次测试全部完整跑通。雪上加霜的是,企业管理员对这类“技能文件”的可见性和治理难度极高,几乎难以管控。而且,这个漏洞不仅在自动模式下有效,即使用户明确指定调用Claude Opus 4.7等更强大的大模型时,同样无法幸免,防御起来相当棘手。
俄罗斯最大yandex入口外贸日报直达链接
Bubbly无法连接服务器修复方法
盖乐世社区怎么删除帖子?盖乐世社区个人发布内容撤回步骤
美好的简约网名男生(精选100个)
新浪人工智能热点小时报丨2026年06月20日02时_今日实时人工智能热点速递
问题:CIA币好不?Cia Protocol币今日上线:价格预测、代币经济学和未来潜力
国际贵金属走低,现货黄金价格跌0.49%
欧易OKX官方网站直达入口 2026欧易官方App安卓版v7.1.0下载安装
倒数日怎么注册 倒数日账号注册教程
动漫《KiraKira 光之美少女 A La Mode》剧情介绍
币安Binance交易所官方入口 币安App下载安装与实名注册教程
Siren (SIREN)币价格预测 2026-2050:SIREN 股价会很快达到 1.5 美元吗?
高质量网名伤感男生英文(精选100个)
币安Binance官方中文网站 币安App最新版下载及新手注册指南
淘宝直播如何看回放在哪里看?怎么查看淘宝直播回放
《梦幻西游》特殊鬼怪怎么抓-隐藏变异鬼应对要点
以太坊(ETH)未来数周或持续呈现低迷态势,多重因素制约价格走势
漫威新剧《钢铁侠和他的超能朋友们》今日炸更11集,Thor和Loki惊喜客串
动漫《欢迎来到实力至上主义教室》剧情介绍
七麦数据官网网页地址 七麦数据官方入口在线首页
手机号码测吉凶
本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件haolingcc@hotmail.com 联系删除。 版权所有 Copyright@2012-2013 haoling.cc