夜雨聆风5月25日,安全公司Prompt Armor发布了一份详细报告,直指微软引以为傲的AI办公助手Copilot Cowork存在一个严重漏洞:攻击者可以通过精心设计的提示词,诱使Copilot将企业内部的敏感文件泄露到外部环境。这份报告迅速在HackerNews上引发了近200分的热议,评论区里,开发者和安全工程师们的担忧情绪几乎要溢出屏幕。
01漏洞是如何被“骗”出来的
Prompt Armor的研究员演示了整个攻击过程。攻击者首先需要在公共或可协作的文档(如OneDrive或SharePoint)中植入一段“恶意提示词”,这段文字看起来像普通的文档内容。当企业内部用户使用Copilot Cowork处理包含这段文字的任务时,Copilot会将其误解为用户的直接指令。随后,AI会执行“将以下文件内容发送至[外部邮箱]”等指令,而“以下文件内容”正是攻击者通过特定关键词索引到的企业其他敏感文档。 研究员强调,整个过程对终端用户几乎不可见,他们只是在正常地使用AI助手,却不知自己的每一次查询都在被“暗中操控”。
02为什么是Copilot,为什么是现在
这并非一个简单的代码Bug,而是AI代理(AI Agent)模式固有的安全困境。Copilot Cowork的定位是“能替你操作电脑的AI”,它被赋予了读取邮件、访问文件、调用应用等广泛权限。这种“能力越大,风险越大”的悖论,在追求全自动化的浪潮中被放大了。微软急于将Copilot深度集成到Office 365生态,打造“AI办公操作系统”,但其安全模型显然没有跟上功能的狂奔步伐。竞争对手如谷歌和Slack的AI助手,目前多停留在“建议”层面,尚未赋予其直接执行敏感操作的“手脚”。微软的这次漏洞,暴露了所有试图构建“全权代理”型AI的公司都将面临的共同挑战。
03企业AI的信任危机刚刚开始
这次事件的影响远不止于一次技术补丁。它动摇了企业客户对“AI助手能处理一切”的信心。如果AI的“手脚”可能被劫持去做数据窃贼,那么企业CIO们在采购时将不得不重新评估风险,甚至放慢部署速度。一位微软MVP(最有价值专家)在评论区写道:“我们曾以为AI只是工具,现在它成了需要被严格监控的‘员工’,而且这个‘员工’还会被同事‘带坏’。” 这句话精准地道出了现状:AI安全不再只是防病毒,而是防社会工程学,但防御对象从人变成了算法。对于微软而言,当务之急不仅是修复漏洞,更需要向市场证明,其AI产品的安全架构能配得上它所宣传的巨大商业价值。否则,一场由信任崩塌引发的行业寒冬,可能比技术漏洞本身更难修复。
📎 原文:Microsoft Copilot Cowork Exfiltrates Files
