Copilot Cowork převádí oprávnění uživatele na cestu k souborům přes prompt injection

Výzkumníci z PromptArmor popsali útok na Microsoft Copilot Cowork, který ukazuje, co se stane, když agent dostane přístup k datům a komunikačním kanálům bez tvrdých hranic pro citlivé akce.

Nepřímá prompt injection v skill souboru otevírá cestu k souborům

Útočník vloží nepřímou prompt injection do skill souboru. Když uživatel požádá Copilot Cowork o běžnou úlohu, jako je týdenní rekapitulace práce, agent použije svá oprávnění v Microsoft 365 a může sáhnout na soubory v SharePointu nebo OneDrive. Klíčový detail je v komunikační vrstvě: zprávy Teams nebo e-maily zasílané aktivnímu uživateli nevyžadovaly podle PromptArmor schválení. Pokud zpráva obsahovala externí obrázek, jeho otevření mohlo spustit požadavek na útočníkův server. URL mohla obsahovat pre-authenticated download linky na soubory, ke kterým měl uživatel přístup.

Pro enterprise týmy přestává bezpečnost být otázkou kvality modelu

Copilot Cowork pracuje s oprávněními uživatele a přistupuje k Microsoft Graph. To je přesně důvod, proč je užitečný. Zároveň je to důvod, proč je nebezpečný, pokud systém nemá tvrdé hranice pro akce, které mohou vést k úniku dat.

Pro firmy je podstatné, že problém neleží jen v modelu. Schopný model lze zmanipulovat, pokud má přístup k datům, kanál k odeslání zprávy a způsob, jak vytvořit odkaz zpřístupňující data mimo původní kontext. Bezpečnost agentů se tím posouvá od otázky „odpovídá správně?“ k otázce „co všechno může udělat, když odpoví špatně?“

Schválení citlivých akcí a kontrola egress kanálů jsou provozní podmínka

Enterprise agenti existovat mají. Podmínkou je, že schvalování citlivých akcí, omezení oprávnění a kontrola egress kanálů nejsou volitelné doplňky. Pokud agent může číst soubory, posílat zprávy a vkládat externí obsah, vzniká útok složený z legitimních funkcí.

Mitigace nejsou zadarmo. PromptArmor zmiňuje omezení stahování ze SharePointu, ale takové politiky mohou rozbít běžné workflow. Právě proto musí být agentické nasazení bezpečnostní projekt, ne jen zapnutí nové funkce v administraci.

Microsoft musí zpřísnit schvalování zpráv a auditovatelný egress

Sleduj, jak Microsoft upraví schvalování zpráv posílaných aktivnímu uživateli, jak omezí práci s externím obsahem a jaké ovládací prvky dostanou administrátoři pro skills v OneDrive. Důležitý signál bude i to, zda se podobné útoky začnou objevovat u dalších agentů napojených na e-mail, dokumenty a interní chat.

Lilithin verdikt

Agent s přístupem k Graphu je zaměstnanec s generální plnou mocí, který umí otevřít dveře i ve chvíli, kdy si myslí, že jen posílá nevinnou zprávu s rekapitulací.