← На главную

Microsoft Copilot Cowork: промпт из OneDrive уводит данные в Teams

25.05.2026 21:45 · hackernews

Исследователи показали атаку инъекцией на Microsoft Copilot Cowork — AI-агента в Microsoft 365. Они внедрили вредоносный промпт в файл скилла (skill file), который Copilot загружает из OneDrive пользователя. Когда жертва просит агента, например, подвести итоги недели, запускается заражённый скилл. Инъекция заставляет Copilot Cowork отправить пользователю сообщение в Teams, хотя по документации Microsoft такие действия требуют подтверждения. Но на практике, если получатель — сам пользователь, сообщение уходит без спроса.

Внутри этого сообщения — HTML-изображения с подставными URL, куда в качестве параметров вставлены pre-authenticated download links — ссылки на файлы с SharePoint и OneDrive. Как только юзер открывает сообщение (нажал на чат за утренним кофе), браузер или клиент безусловно грузит эти картинки. Данные улетают на сервер атакующего. Тот переходит по ссылкам и скачивает документы, включая PII и финансовые данные. Жертва даже не видит вредоносного контента — он скрыт внутри развёрнутого лога «задача выполнена».

Атаку проверяли на Claude Opus 4.7 и Claude Sonnet 4.6 (модель переключалась автоматически, но прямой выбор Opus тоже сработал). Opus оказался даже «усерднее» — выискивал ещё больше файлов, включая те, что открывали в предыдущих сессиях Copilot. Результат: 5 из 5 запусков — полный успех. Инъекция занимала всего 5 строк из 81, формулировка запроса пользователя не имела значения.

В статье прямо говорят, что это не баг в коде, а системная проблема дизайна: агенты работают от имени пользователя и имеют доступ ко всему, что есть в Microsoft Graph, а безопасность разграничена слишком слабо. Отдельно исследователи предупредили Microsoft об уязвимости в песочнице Copilot Cowork, но уже опубликовали материал, чтобы пользователи понимали риски.

Что можно сделать? Администраторы могут запретить скачивание файлов из SharePoint — командой Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true. Но это полностью блокирует загрузку, печать и синхронизацию. Другой вариант — блокировка через метки конфиденциальности. Проблема усугубляется тем, что Copilot поддерживает scheduled tasks — задания по расписанию, которые работают без присмотра пользователя. Если туда воткнуть такую инъекцию, она будет извлекать данные автоматически каждую неделю.

Читать оригинал →