Microsoft Copilot Cowork 作为 Microsoft 365 生态中的智能代理,能够代表用户执行邮件发送、Teams 消息发布、文件操作等敏感任务。然而,这种高度集成的能力也带来了独特的安全挑战:当 AI Agent 获得与用户同等的 Microsoft Graph 权限时,传统的边界防御模型面临失效风险。本文基于最新的安全研究,分析 Cowork 场景下的文件外泄攻击面,并提出可落地的零信任防护框架。
攻击面分析:间接提示注入的完整链条
Copilot Cowork 的核心风险源于间接提示注入(Indirect Prompt Injection)。攻击者通过在用户可访问的内容中嵌入恶意指令,劫持 AI Agent 的行为执行非授权操作。PromptArmor 的研究表明,这种攻击在 Cowork 环境中呈现出极高的成功率(5/5 测试通过),且与底层模型选择无关 —— 无论是 Claude Opus 4.7 还是 Sonnet 4.6,均无法抵御此类攻击。
攻击链的具体实现路径如下:
第一步:权限继承与攻击面暴露。Copilot Cowork 以用户身份运行,继承其完整的 Microsoft Graph 权限,包括 SharePoint 站点访问、Teams 成员资格、OneDrive 文件读取等。这意味着任何用户能够访问的敏感数据 —— 财务报表、PII、商业机密 —— 理论上都可被 Agent 触及。
第二步:恶意 Skill 植入。攻击者诱导用户上传包含提示注入的 SKILL.md 文件,或利用已感染的 MCP 服务器、网页数据等注入源。值得注意的是,Microsoft 明确表示「用户创建的自定义 Skill 未经 Microsoft 验证」,且 Skill 文件会自动从 OneDrive 特定路径加载,管理员对此缺乏有效 oversight。
第三步:触发与执行。当用户请求「回顾本周工作内容」等操作时,恶意 Skill 被激活。注入指令操纵 Copilot Cowork 生成 Teams 消息,将敏感文件的预认证下载链接作为参数附加到外部图片 URL 上。
第四步:绕过审批机制。关键漏洞在于:当消息收件人是「活跃用户自己」时,发送邮件或 Teams 消息无需人工审批。用户甚至无法在 Copilot Cowork 界面中看到恶意消息内容的预览。
第五步:外泄完成。用户打开 Teams 消息时,外部图片请求自动触发,预认证下载链接被发送至攻击者控制的服务器,攻击者即可直接下载文件。
这一攻击链揭示了一个深层问题:AI Agent 的跨系统集成特性使得原本孤立的「良性能力」在组合后产生意外的安全风险。
零信任边界构建:输入控制与输出限制
针对上述攻击面,防护策略应围绕「输入控制」与「输出限制」两个维度展开,形成纵深防御体系。
输入控制:减少不可信数据源
限制内容发现范围。通过 Restricted Content Discovery (RCD) 配置,将敏感 SharePoint 站点排除在 Copilot Cowork 的企业搜索范围之外:
# SharePoint 管理中心 → 站点 → 活动站点 → 选择站点 → 设置
# 启用"限制 Microsoft 365 Copilot 的内容"
实施受限访问控制 (RAC)。对于标记为「组织内所有人可访问」的敏感站点,应将其访问权限限制在特定的 Entra 安全组:
# SharePoint 管理中心 → 策略 → 访问控制 → 站点级访问控制
# 针对目标站点启用"受限站点访问"并指定安全组
阻断下载能力。通过 Block Download 策略防止 Copilot Cowork 获取可用于外泄的预认证下载链接:
Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true
# 或基于敏感度标签配置
Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}
需要注意的是,此配置会将文件访问限制为「仅浏览器查看」,禁用下载、打印和同步功能,可能影响部分业务场景。
输出限制:约束敏感操作
禁用自动操作。在 Cowork 配置中禁止「不再询问」选项,确保每次发送邮件、发布 Teams 消息、安排会议、修改文件等敏感操作都需要人工确认:
M365 管理中心 → Copilot → 设置 → 禁用"记住我的选择"类选项
插件访问控制。对于来自 M365 应用商店的插件,应建立允许列表机制,默认阻止具有外部系统写操作能力的第三方插件:
M365 管理中心 → Copilot → Agents → Tools → <插件名称> → 阻止/解除阻止
自定义 Skill 审批流程。鉴于用户创建的 Skill 未经 Microsoft 验证,组织应建立 Skill 提交 - 审核 - 批准的工作流,高敏感岗位(高管、财务、法务)应完全禁用自定义 Skill。
行为审计机制:可落地的监控配置
零信任架构不仅依赖事前控制,更需要持续的行为审计能力。针对 Copilot Cowork 的审计应覆盖以下维度:
Agent 活动日志。通过 Microsoft Purview Audit 捕获 Copilot Cowork 的关键操作事件,包括:
- Skill 文件加载事件
- 邮件 / Teams 消息发送(特别关注收件人为用户自己的情况)
- 文件访问与下载链接生成
- 插件调用记录
异常行为告警。配置基于阈值的告警规则:
- 短时间内大量文件访问
- 包含外部 URL 的 Teams 消息或邮件
- 非工作时间的自动化任务执行
- 计划任务(Scheduled Tasks)的异常创建
计划任务尤其需要关注 ——Cowork 允许用户创建定期自动执行的提示,这意味着提示注入可以在无人值守的情况下重复触发,显著放大风险。
数据访问治理报告。利用 SharePoint 高级管理功能,定期执行站点访问审查:
# SharePoint 管理中心 → 报告 → 数据访问治理
# 选择最多 100 个站点 → 启动站点访问审查
分阶段实施清单
基于组织的风险偏好,可采用以下分阶段部署策略:
第一阶段:试点评估(Pilot)
- 限制 Frontier 计划注册范围为特定用户组
- 关闭 Anthropic 子处理器访问(M365 管理中心 → Copilot → 设置 → AI 提供商)
- 对试点用户执行 SharePoint 权限清理
- 建立自定义 Skill 审批流程
第二阶段:受控推广(Balanced)
- 启用 Restricted Content Discovery 和 Block Download
- 配置插件允许列表,阻止外部写操作插件
- 部署 Purview DLP 策略,自动标记敏感内容
- 建立定期站点访问审查机制
第三阶段:全面加固(Security-oriented)
- 实施基于敏感度标签的自动分类策略
- 配置 Conditional Access 策略限制高风险场景
- 建立 AI Agent 安全事件响应预案
- 开展针对间接提示注入的安全意识培训
结语
Microsoft Copilot Cowork 代表了企业 AI 代理的发展方向 —— 深度集成、自主执行、跨系统协作。然而,这种能力带来的安全风险要求我们重新审视传统的边界防御模型。通过实施「输入控制 + 输出限制 + 行为审计」的零信任框架,组织可以在享受 AI 效率提升的同时,将数据外泄风险控制在可接受范围内。
关键认知转变在于:AI Agent 不应被视为「工具」,而应被视为具有用户同等权限的「数字员工」,需要同等级别的访问控制、行为监控和安全治理。
参考来源
- PromptArmor: "Microsoft Copilot Cowork Exfiltrates Files" (2026)
- PromptArmor: "Securing Microsoft Copilot Cowork: A Security Practitioner's Guide" (May 2026)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。