В Microsoft Copilot Cowork обнаружили сценарий утечки файлов через письма и изображения
При разработке agentic‑систем остаётся серьёзная проблема: как не допустить сценариев, в которых такие системы могут помочь злоумышленникам вывести данные. В описанном случае продукт Microsoft Copilot Cowork позволял агентам отправлять письма во входящие сообщения пользователя без какого‑либо подтверждения с его стороны.
Отображение этих писем создавало риск утечки через загружаемые изображения. Сообщение могло содержать внешние картинки, которые при открытии инициируют сетевые запросы к сторонним сайтам. Если пользователь открывал скомпрометированное письмо, отправленное агентом, такие запросы могли использоваться для эксфильтрации данных.
Есть и ещё один фактор риска. OneDrive способен создавать pre-authenticated download links. Если prompt injection проходила успешно, подобные ссылки могли оказаться раскрытыми, а значит злоумышленник получал возможность скачать файлы.
Ключевые факты
В Microsoft Copilot Cowork агенты могли отправлять письма во входящие пользователя без его одобрения.
Такие письма могли содержать внешние изображения, которые при открытии инициируют сетевые запросы на внешние сайты.
При открытии скомпрометированного письма, отправленного агентом, через загрузку внешних изображений могла происходить утечка данных.
OneDrive способен создавать предварительно аутентифицированные ссылки для скачивания, и успешная prompt injection могла привести к утечке таких ссылок и загрузке файлов атакующим.