加载失败
Copilot Cowork 是 Microsoft 面向 Microsoft 365 的企业 AI agent 功能,评论里提到它会从用户 OneDrive 的固定路径自动加载 Skills,并借助 Microsoft Graph 访问文件和其他资源。文章展示的 PoC 是:用户上传一个带 prompt injection 的 skill file 后,Copilot 被诱导发送 Teams 消息,并泄露可直接下载文件的 pre-authenticated download links。评论区因此把问题放到更大的 agent 安全语境里讨论,尤其是工具调用、权限边界和管理员是否能限制行为。有人还把它和 OpenAI Atlas(OpenAI 的 LLM 浏览器)的 prompt injection 防护问题联系起来,强调这不是单一产品的问题,而是整类 agent 设计都在面对的风险。
不少评论把 AI skill 看成用自然语言写的程序,而不是普通提示词,所以只要用户安装了恶意 skill,后果就和装了恶意 extension、Outlook plugin 或可执行文件差不多。有人强调,skills 会被 agent 自动加载进 context,本来就没有清晰的信任边界,因此文件被外泄并不意外。还有人指出,这类攻击面很像软件分发渠道,远程 zip、随机 skills 集合、扫描不严的仓库都可能把恶意内容带进来。个别评论还提到,很多 agent 或 CLI 工具天然拥有和用户相同的权限,一旦读到 .env、token 或本地文件,后续外传就只是一步之遥。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9] [来源10] [来源11] [来源12]
另一组评论认为,真正危险的不是 prompt injection 本身,而是 agent 的 Act 能力:一旦模型能调用工具、发 Teams 消息、读 Microsoft Graph,就能把一段文本变成真实操作。文章里提到的 pre-authenticated download links 之所以危险,是因为拿到链接的人无需再次认证就能下载文件,而 Copilot Cowork 还可能在主动用户场景下绕过人工审批。有人主张应该用 deny-by-default、逐个 destination allowlist、沙箱和更强的 admin 控制来缩小 blast radius,而不是寄望于 LLM 自己识别注入。也有人直说,prompt injection 目前没有可靠的硬防线,问题要从权限模型上解决。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7]
不少人把这事看成 Microsoft 赶工上马的又一例子,尤其是把 Copilot 当成 beta feature 先推给企业,再慢慢补安全和管理能力。评论提到 Teams 的混乱、早期 M365 Copilot 因权限和 RAG 配置问题回滚,以及 admin 对 Skills 的可见性和控制能力有限,都说明这个产品栈还没准备好大规模 rollout。也有人认为 Microsoft 明明有 Windows、M365、Azure、OpenAI 合作等优势,却总想靠把 Copilot 塞进一切产品来维持相关性,结果反而暴露出产品 taste 和安全意识不足。整体情绪是:技术和市场都很强,但交付方式像是在 yolo-commit。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
还有一派专门纠正标题和归因,认为 Exfiltrates Files 这个说法带有 rage-bait 色彩,容易把责任直接扣到 Copilot 身上。更准确的表述是:受害者上传了包含 prompt injection 的 skill file,随后 Copilot 被诱导发出 Teams 消息,并暴露可下载文件的链接。也就是说,恶意主要来自 skill 的作者,而不是 agent 本体;问题是系统给了这类内容太大的执行空间。这个角度并不否认漏洞严重,但强调它是用户安装的恶意内容加上过宽权限组成的链式攻击。
prompt injection: 通过恶意文本诱导 LLM 或 agent 违背原始目标、执行攻击者指令的手法。
ReAct: 一种把 reasoning 和 action 结合起来的 agent 框架,模型会边推理边调用工具。
Microsoft Graph: Microsoft 365 的统一 API 层,可访问邮件、文件、日历等企业资源。
pre-authenticated download link: 带有预先认证信息的下载链接,拿到链接就能直接下载文件。
skill: 供 AI agent 自动加载的指令或配置包,外观看似文本,实际可影响 agent 行为。