▲▼犯罪,網路犯罪,罪犯,警察。(圖/取自免費圖庫Pixabay)
記者吳立言/綜合報導
資安研究機構 PromptArmor 近日揭露,微軟旗下的 AI 代理服務 Copilot Cowork 存在「間接提示詞注入(Indirect Prompt Injection)」漏洞,攻擊者可透過偽裝成正常辦公文件的惡意內容,誘導 AI 自動外洩企業內部敏感資料,且整個過程可能在使用者毫無察覺的情況下完成。
根據 PromptArmor 公開的測試報告,這類攻擊不需要傳統惡意程式,也不必取得使用者手動授權,而是直接利用 AI 代理本身的高權限能力進行資料竊取。
惡意指令藏進「工作周報」
研究人員指出,攻擊者可將隱藏指令嵌入網頁、文件,甚至是看似正常的辦公模板之中,例如「每周工作回顧」、「會議摘要」等常見自動化文件。當使用者要求 Copilot Cowork 處理該文件時,AI 可能會被誘導執行額外行為,例如聲稱需要建立文件預覽,接著自動搜尋 OneDrive 或 SharePoint 中的敏感檔案,再產生可下載的預認證連結。
這些連結之後還會透過 Teams 訊息,自動回傳給攻擊者,形成完整的資料外洩流程。
AI 高權限才是最大風險來源
由於 Copilot Cowork 深度整合 Microsoft 365 生態系,本身具備讀取企業雲端資料、發送郵件、傳送 Teams 訊息等權限,因此一旦遭到操控,影響範圍可能遠高於一般釣魚攻擊。PromptArmor 表示,這類「間接提示詞注入」最大的危險,在於 AI 會把惡意內容誤認成正常工作指令,而不是安全威脅。
與傳統惡意程式不同,攻擊內容甚至可能只是普通文字,因此難以被既有防毒或內容過濾系統偵測。
定時自動化功能恐放大攻擊規模
研究團隊也特別警告,Copilot Cowork 支援定時自動執行任務,將進一步提高風險。例如企業常見的「自動周報彙整」、「每日會議摘要」等流程,即便使用者離開電腦,AI 仍可能在背景持續執行工作。若相關流程中混入惡意提示詞,攻擊鏈便可能反覆自動觸發。報告提到,在實際測試中,攻擊方法於 5 次測試中「全數成功」完成資料外傳。
更強模型同樣可能受影響
PromptArmor 指出,該漏洞並不侷限於預設模型,即使明確指定使用更高階的大型語言模型,例如 Anthropic 的 Claude Opus 4.7,仍可能受到相同攻擊方式影響。研究人員認為,問題核心並非單一模型能力,而是目前 AI 普遍缺乏對「隱藏指令」與「真實使用者意圖」的有效區分能力。
