PromptArmor昨日（5月25日）发布博文，报道称微软Microsoft 365中AI智能体Copilot Cowork存在安全风险，可能因“间接提示词注入”导致SharePoint与OneDrive文件外流。

Cowork是微软Microsoft 365 Copilot的智能体AI服务，可代替用户发送邮件、发布Teams消息、创建文档、安排会议和检索组织内部信息等。

根据微软官方说明，Cowork只在用户权限范围内活动，涉及高敏感操作时应弹出审批对话框。不过问题是该AI智能体可以跨邮件、Teams、文档与企业云盘协同工作，一旦读入带恶意指令的外部内容，就可能按攻击者意图操作用户可访问的数据。

PromptArmor提到的攻击方式是“间接提示词注入”（Indirect Prompt Injection）。攻击者不必直接给AI下命令，而是把恶意指令藏进网页、邮件、文档或文件中。

在其中一个示例中，通过Agent Skills文件传播，表面上可命名为“weekly-review”，描述成回顾过去7天工作并把总结发到Teams，看起来像普通办公自动化模板。

用户调用Cowork处理这个Skills文件之后，恶意提示词可以操纵智能体，谎称需要生成文档预览，继而抓取相关文件的预认证下载链接，并把这些链接作为参数嵌入恶意HTML图片标签，最终通过Teams消息发回给用户。

整个过程中无需人工批准，而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息，预认证下载链接就可能被外传，攻击者随后可直接访问链接下载文件。

研究者还提到，管理员对“技能”的可见性有限，因为Copilot Cowork会从用户OneDrive指定路径自动加载技能，这进一步增加了治理难度。

测试结果显示，该攻击不只在Auto模式下成功，在明确指定Claude Opus 4.7时同样成功，并且Opus 4.7会检索更广范围的近期文档，连先前 Cowork会话涉及的文件也可能被纳入外流范围。

PromptArmor表示，同一类间接提示词注入测试中，5次里有5次完整跑通攻击链。

报告还提醒，Cowork的定时执行能力会放大风险。像周报汇总这类任务本就适合自动运行，若恶意技能文件被设为周期任务，用户不在屏幕前时也可能反复触发。