Microsoft Copilot Cowork обнаружена серьезная уязвимость: AI-агент под атакой на подсказки автоматически раскрывает корпоративные конфиденциальные файлы

Кибербезопасность агентство PromptArmor раскрывает наличие уязвимости внедрения подсказок в Microsoft 365 Copilot Cowork, позволяющей злоумышленникам через вредоносный файл навыков привести к утечке конфиденциальных данных компаний из SharePoint и OneDrive.
(Предыстория: GitHub Copilot приостановил автоматическую подписку: неконтролируемое использование ИИ, экономическая неэффективность недорогих планов полностью разрушена)
(Дополнительный фон: Полное руководство по Claude Cowork: превращение ИИ из чат-ассистента в вашего цифрового сотрудника)

Содержание статьи

Переключить

• Microsoft хочет спросить у вас, но не делает этого
  • Шаги атаки
• Чем умнее модель, тем более полная утечка
• Ограничение прав — единственная текущая защита

Пять тестов — пять успешных результатов. На прошлой неделе исследовательское агентство PromptArmor опубликовало отчет о угрозах, в котором указано, что в функции Copilot Cowork в Microsoft 365 обнаружена полностью воспроизводимая цепочка атак на утечку файлов.

Злоумышленник достаточно вставить 5 строк вредоносных команд в 81-строчный файл настроек навыков, чтобы AI-агент без ведома пользователя отправил конфиденциальные файлы из SharePoint и OneDrive на сервер злоумышленника.

Это не проблема отдельной модели. Claude Opus 4.7 и Claude Sonnet 4.6 подтверждены как уязвимые, причем Opus 4.7 ведет себя более «активно», самостоятельно расширяя область поиска, включая все файлы, открытые в текущей сессии Cowork на этой неделе, в список утечек.

Microsoft хочет спросить у вас, но не делает этого

Ключ к этой атаке — разрыв между официальным файлом и реальным поведением.

Официальный документ Microsoft ясно гласит: «Перед выполнением чувствительных операций, таких как отправка электронной почты или публикация сообщений в Teams, Cowork запрашивает ваше согласие.»

Однако исследователи PromptArmor обнаружили, что при получателе — самим пользователем — это правило полностью не работает. Отправка писем себе или сообщений в Teams себе — автоматическая, без всплывающих окон подтверждения, и пользователь не может изменить это поведение в настройках.

Эта деталь становится критическим уязвимым местом всей цепочки атаки.

Copilot Cowork — это функция Microsoft 365 Frontier, которая через Microsoft Graph получает полный доступ к облачным данным пользователя, может читать и управлять всей информацией внутри корпоративной аренды. Иными словами, он видит все, что видит пользователь, включая финансовые отчеты на SharePoint, кадровые данные в OneDrive и все файлы с личной информацией.

Шаги атаки

Цепочка атаки состоит из шести шагов:

Шаг 1: В SharePoint или OneDrive жертвы хранятся чувствительные файлы с личной или финансовой информацией.

Шаг 2: Жертва скачивает файл настроек навыков из интернета и загружает его в Copilot Cowork, что является обычной операцией, аналогичной установке плагина. Файл навыков автоматически загружается из определенного пути в OneDrive пользователя, при этом администратор практически не видит этого.

Шаг 3: Жертва просит Copilot Cowork подготовить сводку работы за текущую неделю, что активирует выполнение навыков.

Шаг 4: Встроенная команда внедрения подсказки управляет агентом, заставляя его получать «предварительно авторизованные ссылки для скачивания» для каждого файла, а затем через вредоносный HTML-элемент с изображением передает эти ссылки на сервер злоумышленника.

Что такое предварительно авторизованная ссылка для скачивания? Проще говоря, это URL с токеном доступа, который позволяет скачать файл без входа в учетную запись Microsoft — достаточно просто кликнуть по ссылке.

Шаг 5: Агент отправляет сообщение в Teams самому себе, в которое встроены вредоносные теги изображений, при этом пользователь не дает разрешения, и содержимое остается полностью невидимым. Даже при открытии сообщения ничего подозрительного не видно.

Шаг 6: В момент открытия сообщения в Teams браузер автоматически загружает изображение, и предварительно авторизованная ссылка передается на сервер злоумышленника, который может в любой момент скачать все файлы.

Чем умнее модель, тем более полная утечка

Тесты PromptArmor выявили важный феномен: чем мощнее модель, тем больше ущерба при такой атаке.

Изначально использовался режим «автоматического» переключения между Claude Opus 4.7 и Claude Sonnet 4.6. Позже исследователи проверили только Opus 4.7 и обнаружили, что одинаковая команда полностью срабатывает.

Эта цепочка атаки успешно реализовалась во всех тестах и не зависит от конкретных вопросов пользователя — достаточно любого запроса, активирующего загрузку навыков, чтобы внедрение сработало.

Также вызывает тревогу устойчивость атаки. Copilot Cowork поддерживает расписание задач, позволяя пользователю задавать автоматическое выполнение команд. Если злоумышленник вставит команду в расписание, жертва даже не заметит, и атака будет продолжаться циклически, постоянно выводя корпоративную информацию наружу.

PromptArmor подчеркивает, что речь идет не о простом исправлении ошибки, а о системной угрозе архитектуры корпоративных AI-агентов. Когда агент получает делегированные полномочия по нескольким системам, любой срыв доверия в одной из них может стать точкой входа для полного проникновения.

Ограничение прав — единственная текущая защита

В отчете PromptArmor также раскрыта уязвимость, позволяющая данные выходить за пределы изолированной среды Copilot Cowork, что является отдельной проблемой, не связанной с текущим исследованием, и уже передана в ответственное раскрытие.

Публикация цепочки атак обусловлена тем, что риск обусловлен системной архитектурой, а не конкретной уязвимостью, которую можно исправить. Пользователи должны знать о рисках и самостоятельно решать, принимать ли их.

На данный момент наиболее эффективной мерой является ограничение действий агента. Администраторы могут ограничить скачивание файлов через SharePoint командой Set-SPOSite -Identity -BlockDownloadPolicy $true или с помощью меток чувствительности, блокирующих скачивание.

Это повлечет за собой снижение функциональности: пользователи смогут только просматривать файлы в браузере, без возможности скачивать, печатать или синхронизировать, включая Word, Excel, PowerPoint и все приложения Microsoft 365.

Это уже вторая крупная проблема безопасности в экосистеме Microsoft Copilot за последнее время. Ранее обнаруженная уязвимость EchoLeak (CVE-2025-32711) касалась подсказок в личной версии Copilot, а атака Varonis Reprompt (CVE-2026-24307) выявила похожий путь утечки данных одним кликом. Уязвимость в Copilot Studio (CVE-2026-21520, CVSS 7.5) уже исправлена, однако подобные проблемы остаются в более широком спектре продуктов Copilot.

Границы возможностей AI-агентов становятся новым фронтом в корпоративной информационной безопасности.

Когда инструмент способен «делать работу» за вас, его права доступа неизбежно расширяются, а каждое предоставленное разрешение — потенциальный вектор атаки. Ограничение возможностей агента по действиям — по сути, ограничение его ценности, и этот конфликт пока не имеет идеального решения.