微软Copilot提示词注入漏洞风险解析与防范指南

近日，网络安全研究机构PromptArmor发布了一份深度报告，披露了微软Microsoft 365 Copilot Cowork服务中存在的一个高危安全漏洞。该漏洞的核心在于“间接提示词注入”攻击手法，攻击者能够借此在无需任何用户授权或交互的情况下，隐秘地窃取并外传企业存储在OneDrive、SharePoint等云盘中的敏感数据与机密文件。

办公文档与模板成为攻击载体

作为深度集成于Microsoft 365生态的AI办公助手，Copilot Cowork拥有极高的系统权限，可代表用户执行发送邮件、发布Teams消息以及检索组织内部文档等操作。然而，研究报告指出，这一强大功能却成为了安全软肋。攻击者只需将恶意指令嵌入日常办公文档、网页内容或看似正规的自动化模板（例如“每周工作总结模板”）中，即可诱使AI智能体执行非授权操作。

整个攻击流程极具隐蔽性。当用户指示Cowork处理包含恶意提示词的文件时，该智能体会被暗中操控。它会以生成文档预览等看似合理的理由，自动抓取企业内部高敏感文件的预认证访问链接，随后通过Teams消息将这些链接悄然发送给攻击者。整个数据外泄过程在后台自动完成，用户难以察觉异常。

定时自动化任务加剧威胁，企业防御面临挑战

尤为严峻的是，Copilot Cowork支持的定时自动执行任务功能，显著放大了此漏洞的风险影响面。例如，像“自动汇总周报”这类设置为周期性运行的自动化流程，即便在用户离线或无人值守时，也会在后台持续触发，反复执行完整的攻击链，导致数据持续泄露。

在安全测试中，利用此漏洞发起的攻击成功率极高，多次实验均完整达成数据窃取目标。与此同时，企业IT管理员对于此类第三方“技能文件”的可见性与管控能力严重不足，治理难度极大。值得注意的是，该漏洞不仅存在于默认的自动模式中，即使用户明确指定调用Claude Opus 4.7等更高级的大模型来处理任务，攻击依然可能生效，使得常规的模型切换防御策略效果有限，为企业安全防护带来了新的严峻挑战。