資安報告指出Copilot Cowork 隱藏資安風險，可能會遭「間接提示詞注入」攻擊

資安防護機構 PromptArmor 發表最新研究報告，指出微軟（Microsoft）旗下 Microsoft 365 平台中的 AI Agent 功能「Copilot Cowork」有個嚴重的安全性風險。研究人員警告，駭客可能透過所謂的「間接提示詞注入（Indirect Prompt Injection）」攻擊手法，導致企業內部儲存於 SharePoint 與 OneDrive 的機密文件面臨外洩的危機。

Cowork 是微軟 Microsoft 365 Copilot 生態系統中專屬的 AI 服務。它的主要功能是協助使用者自動化處理繁雜的日常工作，例如代為發送電子郵件、在 Teams 上發布訊息、自動建立與排版文件、安排跨部門會議，甚至能夠檢索組織內部龐大的資訊庫。

根據微軟官方的安全設計說明，Cowork 的運作嚴格限制在個別使用者的權限範圍內。當系統偵測到涉及高敏感度或潛在風險的操作時，理應會自動彈出審批對話框，要求使用者進行手動確認。

然而，問題的癥結在於：該 AI Agent具備跨應用程式的高度協同能力，能夠在電子郵件、Teams 訊息、文件處理以及企業雲端硬碟（OneDrive、SharePoint）之間無縫作業。一旦 Cowork 不慎讀取到夾帶惡意指令的外部內容，就極有可能被攻擊者「劫持」，進而依照駭客的意圖，擅自操作使用者有權限存取的所有機密資料。

什麼是「間接提示詞注入」？

PromptArmor 在報告中詳細解說了這次發現的攻擊方式——「間接提示詞注入」（Indirect Prompt Injection）。與傳統的直接下達惡意指令不同，在這種攻擊模式下，駭客完全不需要直接對 AI 下達命令。相反地，他們會將惡意指令巧妙地隱藏在看似無害的網頁、電子郵件內容、一般文件或特定的系統檔案中。

報告中舉出了一個具體的實例：駭客可以透過「Agent Skills（智能體技能）」檔案來傳播惡意指令。這些檔案表面上可能被偽裝命名為「weekly-review（每週工作回顧）」，並在描述中寫著「協助回顧過去 7 天的工作進度，並將重點總結發布到 Teams」，讓它看起來就像是一個再普通不過的辦公室自動化模板工具。

當不知情的使用者調用 Cowork 來處理這個偽裝的 Skills 檔案時，隱藏在其中的惡意提示詞便會開始操縱智能體。AI 可能會謊稱「需要生成文件的預覽畫面」，藉此偷偷抓取相關機密文件的「預先認證下載連結（Pre-authenticated download links）」。接著，AI 會將這些連結作為參數，偷偷嵌入到惡意的 HTML 圖片標籤（Image tags）中，最後透過 Teams 訊息的格式傳回給使用者。

更令人擔憂的是，整個資料竊取過程完全不需要經過任何人工批准。而且，這些惡意訊息的內容在 Teams 介面上未必會被使用者明顯察覺。只要使用者不經意地打開了這條被駭客動過手腳的訊息，預先認證的下載連結就會瞬間被傳送至外部伺服器。隨後，攻擊者便可憑藉這些連結，直接繞過身分驗證下載企業內部的機密文件。

治理難度高，且攻擊成功率驚人

研究人員進一步指出，企業 IT 管理員對於這類「技能（Skills）」檔案的能見度與掌控力其實相當有限。主要原因是 Copilot Cowork 被設計成會從使用者個人的 OneDrive 指定路徑中自動載入這些技能檔案，這無疑大幅增加了企業資安防護與內部治理的難度。

在 PromptArmor 的測試結果中顯示，這種攻擊手法不僅在系統預設的「Auto（自動）」模式下能夠順利執行，即便是在明確指定使用「Claude Opus 4.7」等特定進階模型時，攻擊依然能夠成功。更糟的是，Opus 4.7 模型為了提供更全面的結果，往往會檢索更廣泛的近期文件，這意味著連先前 Cowork 會話中所涉及的其他無關檔案，也有極高的風險被一併納入外洩的範圍中。

PromptArmor 在報告中特別強調，在同一類型的「間接提示詞注入」安全測試中，他們進行了 5 次模擬攻擊，結果 5 次皆完整地跑通了整個攻擊鏈（Attack Chain），成功率高達 100%。

此外，報告也發出強烈警告：Cowork 所具備的「定時執行」能力，將會以指數級別放大這類攻擊的風險。

許多企業員工喜歡將「週報彙整」或「每日例會重點整理」等任務設定為自動運行的週期任務。然而，一旦這些被設定為週期任務的技能檔案中夾帶了惡意程式碼，這意味著即便使用者不在電腦螢幕前、甚至在非上班時間，系統也會在背景反覆觸發惡意外洩行為，成為潛伏在企業內部的資安不定時炸彈。