Microsoft Copilot Cowork mengalami celah keamanan besar: AI Agent secara otomatis membocorkan file rahasia perusahaan ketika terkena serangan prompt injection

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯2549 kata

Lembaga keamanan siber PromptArmor mengungkap kerentanan prompt injection pada Microsoft 365 Copilot Cowork, di mana penyerang dapat menyebabkan kebocoran berkas rahasia perusahaan di SharePoint dan OneDrive melalui sebuah file skill berbahaya. (Latar belakang: GitHub Copilot menghentikan langganan mandiri: penggunaan AI tak terkendali, ekonomi paket murah telah runtuh sepenuhnya) (Konteks tambahan: Panduan Lengkap Claude Cowork: Mengubah AI dari asisten obrolan menjadi karyawan digital Anda) PromptArmor pekan lalu merilis laporan intelijen ancaman yang menunjukkan bahwa fitur Copilot Cowork pada Microsoft 365 memiliki rantai serangan kebocoran berkas yang sepenuhnya dapat direproduksi. Dari beberapa kali pengujian, 5 kali berhasil. Penyerang dari lembaga riset keamanan hanya perlu menyisipkan 5 baris instruksi berbahaya dalam sebuah file konfigurasi skill yang berisi 81 baris, lalu agen AI dapat mengirim berkas rahasia perusahaan di SharePoint dan OneDrive ke server yang dikendalikan penyerang tanpa sepengetahuan pengguna sama sekali. Ini bukan masalah model tertentu. Claude Opus 4.7 dan Claude Sonnet 4.6 keduanya terverifikasi terdampak, dan Opus 4.7 menunjukkan perilaku yang lebih "agresif", secara proaktif memperluas cakupan pencariannya dan memasukkan semua berkas yang pernah dibuka korban dalam sesi Cowork sepanjang minggu itu ke dalam daftar kebocoran. Kunci dari serangan ini terletak pada kesenjangan antara dokumen resmi dengan perilaku aktual. Dokumen resmi Microsoft secara jelas menyatakan: "Cowork akan meminta persetujuan Anda sebelum melakukan operasi sensitif, misalnya mengirim email atau memposting pesan di Teams." Namun, peneliti PromptArmor menemukan dalam pengujian bahwa ketika penerima adalah pengguna itu sendiri, aturan ini langsung tidak berlaku. Mengirim email ke diri sendiri, mengirim pesan Teams ke diri sendiri, Copilot Cowork akan langsung mengeksekusinya secara otomatis tanpa memunculkan jendela konfirmasi otorisasi apa pun, dan pengguna juga tidak memiliki pengaturan apa pun untuk mengubah perilaku ini. Detail inilah yang menjadi celah kunci dari seluruh rantai serangan. Copilot Cowork merupakan fitur Frontier dari Microsoft 365, yang memperoleh hak akses cloud penuh pengguna melalui Microsoft Graph, dan dapat membaca serta mengoperasikan data di seluruh tenant perusahaan. Dengan kata lain, ia dapat melihat semua yang dapat Anda lihat, termasuk laporan keuangan di SharePoint, data kepegawaian di OneDrive, dan seluruh berkas yang mengandung informasi identitas pribadi. Rantai serangan terdiri dari enam langkah: Langkah pertama: SharePoint atau OneDrive korban menyimpan berkas sensitif yang berisi data pribadi atau finansial. Langkah kedua: Korban mengunduh sebuah file konfigurasi skill dari internet, lalu mengunggahnya ke Copilot Cowork — ini adalah operasi umum, setara dengan memasang plugin. File skill Cowork akan dimuat secara otomatis dari jalur tertentu di OneDrive pengguna, dan visibilitas administrator terhadap hal ini sangat terbatas. Langkah ketiga: Korban meminta Copilot Cowork untuk merangkum pekerjaan minggu ini, yang memicu eksekusi skill tersebut. Langkah keempat: Instruksi prompt injection yang disisipkan mengendalikan agen, membuatnya memperoleh "pra-otentikasi link unduh" untuk setiap berkas, lalu melalui tag gambar HTML berbahaya, link-link tersebut dikirim sebagai parameter kueri ke server penyerang. Apa itu pra-otentikasi link unduh? Sederhananya, sebuah URL yang membawa informasi otorisasi; siapa pun yang mendapatkan link ini, tanpa perlu login ke akun Microsoft, dapat langsung mengkliknya untuk mengunduh berkas tersebut. Langkah kelima: Agen mengirim sebuah pesan Teams kepada pengguna itu sendiri, di mana pesan tersebut menyematkan tag gambar berbahaya, seluruh prosesnya tidak memerlukan otorisasi pengguna, konten berbahaya sepenuhnya tidak terlihat oleh pengguna, bahkan ketika pesan dibuka pun tidak terlihat anomalinya. Langkah keenam: Pada saat pengguna membuka pesan Teams, peramban otomatis memuat gambar, dan pra-otentikasi link unduh dikirim ke server penyerang, di mana penyerang dapat membuka link tersebut kapan saja untuk mengunduh semua berkas. Pengujian PromptArmor mengungkap fenomena yang patut direnungkan: semakin kuat kemampuan model, semakin besar kerugian yang ditimbulkan dalam skenario serangan ini. Pengujian awal menggunakan mode "otomatis", di mana sistem secara dinamis beralih antara Claude Opus 4.7 dan Claude Sonnet 4.6. Peneliti kemudian melakukan verifikasi terpisah pada Opus 4.7, dan hasilnya menunjukkan bahwa instruksi injection yang sama sepenuhnya efektif. Rantai serangan ini berhasil dieksekusi secara penuh di semua pengujian, dan tidak bergantung pada teks kueri spesifik yang ditanyakan pengguna; selama ada kueri apa pun yang memicu pemuatan skill, injection dinyatakan berhasil. Persistensi serangan juga sama mengkhawatirkannya. Copilot Cowork mendukung tugas terjadwal, memungkinkan pengguna mengatur instruksi prompt untuk dieksekusi otomatis secara berkala. Begitu konfigurasi injection penyerang masuk ke dalam jadwal, korban bahkan tidak perlu melakukan operasi aktif; serangan akan dieksekusi secara senyap dalam setiap siklus, terus menerus mengekspor rahasia perusahaan. PromptArmor menekankan bahwa ini bukan bug program yang dapat diperbaiki dengan satu patch tunggal, melainkan risiko sistemik dari arsitektur desain agen AI tingkat perusahaan. Ketika sebuah agen diberi otorisasi delegasi lintas berbagai sistem, runtuhnya batas kepercayaan di salah satu sistem dapat menjadi pintu masuk untuk penetrasi menyeluruh. PromptArmor dalam laporannya secara terpisah juga mengungkap kepada Microsoft sebuah kerentanan yang secara langsung memungkinkan data bocor dari lingkungan sandbox Copilot Cowork; ini merupakan masalah lain yang independen dari penelitian kali ini, dan saat ini telah memasuki program pengungkapan yang bertanggung jawab. Untuk rantai serangan yang dipublikasikan kali ini, peneliti memilih untuk mengungkapnya secara proaktif alih-alih menunggu perbaikan, dengan alasan: risiko ini berasal dari desain arsitektur sistem, bukan kerentanan spesifik yang dapat ditambal, dan pengguna perlu memutuskan apakah akan menerima risiko ini dalam keadaan terinformasi. Langkah mitigasi yang dapat diambil saat ini terutama berfokus pada mempersempit radius tindakan agen. Administrator dapat membatasi pengunduhan berkas melalui SharePoint: mengatur Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true , atau memblokir fungsi unduh berdasarkan label sensitivitas. Konsekuensinya adalah fungsionalitas yang berkurang; pengguna hanya dapat melihat berkas di peramban, tidak dapat mengunduh, mencetak, atau menyinkronkan, termasuk untuk Word, Excel, PowerPoint, dan semua aplikasi Microsoft 365 lainnya. Ini juga merupakan gelombang kedua masalah keamanan besar pada ekosistem Microsoft Copilot baru-baru ini. Sebelumnya, EchoLeak (CVE-2025-32711) adalah kerentanan prompt injection yang menargetkan Copilot versi personal, serangan Reprompt yang diteliti Varonis (CVE-2026-24307) mengungkap jalur kebocoran data satu klik yang serupa, dan kerentanan indirect prompt injection di Copilot Studio (CVE-2026-21520, CVSS 7.5) meskipun telah ditambal, namun masalah serupa di lini produk Copilot yang lebih luas belum sepenuhnya teratasi. Batas kemampuan agen AI sedang menjadi medan pertempuran baru bagi keamanan siber perusahaan. Ketika sebuah alat dapat "melakukan sesuatu" untuk Anda, hak akses yang diperlukannya akan terus meluas secara tak terhindarkan, dan setiap izin yang diberikan adalah vektor serangan potensial. Membatasi kemampuan tindakan agen, pada hakikatnya adalah membatasi nilai gunanya, dan untuk kontradiksi ini, saat ini belum ada yang memiliki jawaban sempurna.

Status data✓ Teks lengkap telah diambilBaca artikel asli (動區 BlockTempo)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset6 berita

2026-05-25

Berita Sekilas》SquidRouterModule Mengalami Kerentanan Besar! 86 Gnosis Safe Diretas, Kerugian 3 Juta Dolar AS

Tingkat kemiripan 120%關鍵字爆重大漏洞同分類 zh

2026-05-24

Kontributor inti OpenClaw: Setelah demam lobster mereda, kepada siapa Agent harus mendengarkan?

Tingkat kemiripan 120%關鍵字 agent同分類 zh

2026-05-20

Hermes Agent menelan alat CLI resmi X! xAI merilis panduan instalasi

Tingkat kemiripan 120%關鍵字 agent同分類 zh

2026-05-18