Microsoft Copilot Cowork lộ lỗ hổng nghiêm trọng: AI Agent gặp tấn công prompt tự động rò rỉ tệp mật của doanh nghiệp

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2549 từ

Tổ chức an ninh mạng PromptArmor đã tiết lộ rằng Microsoft 365 Copilot Cowork tồn tại lỗ hổng tiêm nhiễm lời nhắc (prompt injection), kẻ tấn công có thể thông qua một tệp kỹ năng độc hại để gây rò rỉ các tệp mật của doanh nghiệp trên SharePoint và OneDrive. (Bối cảnh trước: GitHub Copilot tạm dừng đăng ký tự phục vụ: Mức sử dụng AI mất kiểm soát, kinh tế học của gói giá phải chăng đã sụp đổ hoàn toàn) (Bổ sung bối cảnh: Hướng dẫn toàn diện về Claude Cowork: Biến AI từ trợ lý trò chuyện thành nhân viên kỹ thuật số của bạn) PromptArmor tuần trước đã công bố báo cáo tình báo về mối đe dọa, chỉ ra rằng tính năng Copilot Cowork của Microsoft 365 tồn tại một chuỗi tấn công rò rỉ tệp hoàn chỉnh và có thể tái hiện được. Qua nhiều lần thử nghiệm, có 5 lần thành công. Kẻ tấn công thuộc tổ chức nghiên cứu an ninh mạng chỉ cần cấy 5 dòng lệnh độc hại vào một tệp cấu hình kỹ năng dài 81 dòng, là có thể khiến tác nhân AI gửi các tệp mật của doanh nghiệp trên SharePoint và OneDrive đến máy chủ do kẻ tấn công kiểm soát mà người dùng hoàn toàn không hay biết. Đây không phải là vấn đề của một mô hình riêng lẻ. Cả Claude Opus 4.7 và Claude Sonnet 4.6 đều được xác minh là bị ảnh hưởng, và Opus 4.7 thể hiện "tích cực" hơn, chủ động mở rộng phạm vi tìm kiếm, đưa tất cả các tệp mà nạn nhân đã mở trong các phiên Cowork trong tuần này vào danh sách rò rỉ. Mấu chốt của cuộc tấn công này nằm ở sự khác biệt giữa tài liệu chính thức và hành vi thực tế. Tài liệu hướng dẫn chính thức của Microsoft ghi rõ: "Cowork sẽ xin sự đồng ý của bạn trước khi thực hiện các thao tác nhạy cảm, ví dụ như gửi email hoặc đăng tin nhắn trên Teams." Tuy nhiên, các nhà nghiên cứu của PromptArmor đã phát hiện trong quá trình thử nghiệm rằng khi người nhận chính là bản thân người dùng, quy tắc này hoàn toàn không có hiệu lực. Gửi thư cho chính mình, gửi tin nhắn Teams cho chính mình, Copilot Cowork đều tự động thực hiện, không hiển thị bất kỳ cửa sổ xác nhận ủy quyền nào, và người dùng cũng không có bất kỳ cài đặt nào để thay đổi hành vi này. Chi tiết này đã trở thành lỗ hổng quan trọng của toàn bộ chuỗi tấn công. Copilot Cowork là tính năng Frontier của Microsoft 365, thông qua Microsoft Graph để có được toàn bộ quyền truy cập đám mây của người dùng, có thể đọc và thao tác dữ liệu trong toàn bộ thuê bao của doanh nghiệp. Nói cách khác, nó có thể nhìn thấy mọi thứ bạn có thể nhìn thấy, bao gồm báo cáo tài chính trên SharePoint, dữ liệu nhân sự trên OneDrive, và tất cả các tệp chứa thông tin nhận dạng cá nhân. Chuỗi tấn công gồm sáu bước: Bước thứ nhất: SharePoint hoặc OneDrive của nạn nhân lưu trữ các tệp nhạy cảm chứa thông tin cá nhân hoặc dữ liệu tài chính Bước thứ hai: Nạn nhân tải xuống một tệp cấu hình kỹ năng từ internet, tải lên Copilot Cowork, đây là thao tác phổ biến, tương đương với việc cài đặt tiện ích mở rộng. Tệp kỹ năng của Cowork sẽ tự động được tải từ một đường dẫn cụ thể trong OneDrive của người dùng, và quản trị viên có khả năng quan sát rất hạn chế đối với việc này Bước thứ ba: Nạn nhân yêu cầu Copilot Cowork tổng hợp tóm tắt công việc trong tuần, kích hoạt việc thực thi kỹ năng Bước thứ tư: Lệnh tiêm nhiễm lời nhắc đã được cấy sẽ điều khiển tác nhân, khiến nó lấy "liên kết tải xuống được xác thực trước" cho mỗi tệp, sau đó thông qua thẻ hình ảnh HTML độc hại, gửi các liên kết này dưới dạng tham số truy vấn đến máy chủ của kẻ tấn công. Liên kết tải xuống được xác thực trước là gì? Nói đơn giản, đó là một URL có thông tin ủy quyền kèm theo, bất kỳ ai có được liên kết này, không cần đăng nhập tài khoản Microsoft, chỉ cần nhấp vào là có thể tải xuống tệp đó. Bước thứ năm: Tác nhân gửi một tin nhắn Teams cho chính người dùng, trong tin nhắn nhúng các thẻ hình ảnh độc hại này, toàn bộ quá trình không cần người dùng ủy quyền, nội dung độc hại hoàn toàn không hiển thị cho người dùng, ngay cả khi mở tin nhắn cũng không thấy bất thường Bước thứ sáu: Khoảnh khắc người dùng mở tin nhắn Teams, trình duyệt tự động tải hình ảnh, liên kết tải xuống được xác thực trước được gửi đến máy chủ của kẻ tấn công, kẻ tấn công có thể mở liên kết bất cứ lúc nào để tải xuống tất cả các tệp. Thử nghiệm của PromptArmor đã tiết lộ một hiện tượng đáng suy ngẫm: khả năng của mô hình càng mạnh, thiệt hại gây ra trong tình huống tấn công này càng lớn. Giai đoạn đầu thử nghiệm sử dụng chế độ "tự động", hệ thống chuyển đổi động giữa Claude Opus 4.7 và Claude Sonnet 4.6. Các nhà nghiên cứu sau đó đã xác minh riêng đối với Opus 4.7, kết quả phát hiện rằng cùng một lệnh tiêm nhiễm hoàn toàn có hiệu lực. Chuỗi tấn công này đã được thực hiện đầy đủ trong tất cả các thử nghiệm, và không liên quan đến nội dung văn bản truy vấn cụ thể của người dùng, chỉ cần bất kỳ truy vấn nào kích hoạt việc tải kỹ năng, việc tiêm nhiễm sẽ thành công. Tính bền vững của cuộc tấn công cũng đáng lo ngại. Copilot Cowork hỗ trợ tác vụ theo lịch trình, cho phép người dùng cài đặt các lệnh nhắc tự động thực thi định kỳ. Một khi cài đặt tiêm nhiễm của kẻ tấn công đi vào lịch trình, nạn nhân thậm chí không cần thao tác chủ động, cuộc tấn công sẽ âm thầm thực thi trong mỗi chu kỳ, liên tục xuất ra các bí mật doanh nghiệp ra bên ngoài. PromptArmor nhấn mạnh, đây không phải là một lỗi chương trình có thể sửa chữa bằng một bản vá đơn lẻ, mà là rủi ro hệ thống trong thiết kế kiến trúc tác nhân AI cấp doanh nghiệp. Khi một tác nhân được trao quyền ủy quyền vượt qua nhiều hệ thống, bất kỳ sự sụp đổ ranh giới tin cậy nào của một hệ thống đều có thể trở thành cửa ngõ xâm nhập toàn diện. PromptArmor trong báo cáo đã tiết lộ thêm cho Microsoft một lỗ hổng cho phép trực tiếp dữ liệu rò rỉ từ môi trường sandbox của Copilot Cowork, đây là một vấn đề độc lập với nghiên cứu này, hiện đã đi vào quy trình tiết lộ có trách nhiệm. Đối với chuỗi tấn công được công khai lần này, các nhà nghiên cứu chọn chủ động tiết lộ thay vì chờ đợi bản vá, lý do là: rủi ro này bắt nguồn từ thiết kế kiến trúc hệ thống, chứ không phải lỗ hổng cụ thể có thể vá được, người dùng cần quyết định trong tình trạng được thông báo đầy đủ liệu có chấp nhận rủi ro này hay không. Các biện pháp giảm thiểu hiện có chủ yếu tập trung vào việc thu hẹp bán kính hành động của tác nhân. Quản trị viên có thể thông qua SharePoint để hạn chế tải xuống tệp: cài đặt Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true , hoặc chặn chức năng tải xuống theo nhãn nhạy cảm. Cái giá phải trả là chức năng bị tổn hại, người dùng chỉ có thể xem tệp trong trình duyệt, không thể tải xuống, in hoặc đồng bộ, bao gồm Word, Excel, PowerPoint và tất cả các ứng dụng Microsoft 365. Đây cũng là làn sóng vấn đề bảo mật quan trọng thứ hai gần đây trong hệ sinh thái Microsoft Copilot. EchoLeak (CVE-2025-32711) trước đó là lỗ hổng tiêm nhiễm lời nhắc nhắm vào phiên bản cá nhân của Copilot, cuộc tấn công Reprompt do Varonis nghiên cứu (CVE-2026-24307) thì tiết lộ đường dẫn rò rỉ dữ liệu chỉ một cú nhấp chuột tương tự, lỗ hổng tiêm nhiễm lời nhắc gián tiếp của Copilot Studio (CVE-2026-21520, CVSS 7.5) tuy đã được vá, nhưng các vấn đề cùng loại trong dòng sản phẩm Copilot rộng lớn hơn vẫn chưa được loại bỏ hoàn toàn. Ranh giới khả năng của tác nhân AI đang trở thành chiến trường mới của an ninh mạng doanh nghiệp. Khi một công cụ có thể thay bạn "làm việc", quyền truy cập mà nó cần sẽ không thể tránh khỏi việc mở rộng, và mỗi quyền được cấp đều là một vector tấn công tiềm ẩn. Hạn chế khả năng hành động của tác nhân, về bản chất là hạn chế giá trị sử dụng của nó, mâu thuẫn này hiện chưa có ai có câu trả lời hoàn hảo.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (動區 BlockTempo)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin

2026-05-31

Thực chiến: Hướng dẫn từng bước sử dụng 7 Agent để nâng cấp Vibe Coding thành quy trình phát triển cấp chuyên gia

Độ tương đồng 120%關鍵字 agent同分類 zh

2026-05-31

Trả phí hàng tháng từ 29 USD đến 750 USD: GitHub Copilot chuyển sang tính phí theo lượng Token sử dụng, cộng đồng lập trình viên dậy sóng

Độ tương đồng 120%關鍵字 copilot同分類 zh

2026-05-27

Base ra mắt công cụ MCP, cho phép AI Agent trực tiếp điều khiển ví crypto: chuyển tiền, đổi coin, kiểm tra số dư hoàn tất trong một bước

Độ tương đồng 120%關鍵字 agent同分類 zh

2026-05-26