К содержанию
Новости

В Microsoft Copilot Cowork обнаружили сценарий утечки файлов через письма и изображения

При разработке agentic‑систем остаётся серьёзная проблема: как не допустить сценариев, в которых такие системы могут помочь злоумышленникам вывести данные. В описанном случае продукт Microsoft Copilot Cowork позволял агентам отправлять письма во входящие сообщения пользователя без какого‑либо подтверждения с его стороны.

Отображение этих писем создавало риск утечки через загружаемые изображения. Сообщение могло содержать внешние картинки, которые при открытии инициируют сетевые запросы к сторонним сайтам. Если пользователь открывал скомпрометированное письмо, отправленное агентом, такие запросы могли использоваться для эксфильтрации данных.

Есть и ещё один фактор риска. OneDrive способен создавать pre-authenticated download links. Если prompt injection проходила успешно, подобные ссылки могли оказаться раскрытыми, а значит злоумышленник получал возможность скачать файлы.

Ключевые факты

  • В Microsoft Copilot Cowork агенты могли отправлять письма во входящие пользователя без его одобрения.

  • Такие письма могли содержать внешние изображения, которые при открытии инициируют сетевые запросы на внешние сайты.

  • При открытии скомпрометированного письма, отправленного агентом, через загрузку внешних изображений могла происходить утечка данных.

  • OneDrive способен создавать предварительно аутентифицированные ссылки для скачивания, и успешная prompt injection могла привести к утечке таких ссылок и загрузке файлов атакующим.