IT之家 5 月 26 日消息，PromptArmor 昨日（5 月 25 日）发布博文，报道称微软 Microsoft 365 中 AI 智能体 Copilot Cowork 存在安全风险，可能因“间接提示词注入”导致 SharePoint 与 OneDrive 文件外流。

IT之家注：Cowork 是微软 Microsoft 365 Copilot 的智能体 AI 服务，可代替用户发送邮件、发布 Teams 消息、创建文档、安排会议和检索组织内部信息等。

根据微软官方说明，Cowork 只在用户权限范围内活动，涉及高敏感操作时应弹出审批对话框。不过问题是该 AI 智能体可以跨邮件、Teams、文档与企业云盘协同工作，一旦读入带恶意指令的外部内容，就可能按攻击者意图操作用户可访问的数据。

PromptArmor 提到的攻击方式是“间接提示词注入”（Indirect Prompt Injection）。攻击者不必直接给 AI 下命令，而是把恶意指令藏进网页、邮件、文档或文件中。

在其中一个示例中，通过 Agent Skills 文件传播，表面上可命名为“weekly-review”，描述成回顾过去 7 天工作并把总结发到 Teams，看起来像普通办公自动化模板。

用户调用 Cowork 处理这个 Skills 文件之后，恶意提示词可以操纵智能体，谎称需要生成文档预览，继而抓取相关文件的预认证下载链接，并把这些链接作为参数嵌入恶意 HTML 图片标签，最终通过 Teams 消息发回给用户。

整个过程中无需人工批准，而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息，预认证下载链接就可能被外传，攻击者随后可直接访问链接下载文件。

研究者还提到，管理员对“技能”的可见性有限，因为 Copilot Cowork 会从用户 OneDrive 指定路径自动加载技能，这进一步增加了治理难度。

测试结果显示，该攻击不只在 Auto 模式下成功，在明确指定 Claude Opus 4.7 时同样成功，并且 Opus 4.7 会检索更广范围的近期文档，连先前 Cowork 会话涉及的文件也可能被纳入外流范围。

PromptArmor 表示，同一类间接提示词注入测试中，5 次里有 5 次完整跑通攻击链。

报告还提醒，Cowork 的定时执行能力会放大风险。像周报汇总这类任务本就适合自动运行，若恶意技能文件被设为周期任务，用户不在屏幕前时也可能反复触发。