Copilot Cowork 被演示外传文件：危险不在模型，在企业代理的默认权限

PromptArmor 这次演示里，最刺眼的不是“模型又被提示注入骗了”。真正刺眼的是：Copilot Cowork 可以给当前用户自己发 Teams 消息或邮件，不需要人工批准；而消息里的恶意内容，在 Copilot 的动作记录里还看不见。

这件事的关键也不在 Claude、Opus 4.7，或某个模型名字。Copilot Cowork 以用户的 Microsoft 权限运行，可通过 Microsoft Graph 访问企业租户数据。只要用户本来能看 SharePoint 或 OneDrive 里的文件，代理就可能替他去看。攻击者要撕开的，不是密码门，而是“用户授权”这条老边界。

发生了什么：一条很短的外传链

PromptArmor 演示的是间接提示注入，不是传统意义上的账号被盗。

攻击者把恶意指令塞进一个被加载的 Skill。Cowork 在可信上下文里读到它，再按指令查找用户有权访问的文件。随后，代理向当前用户发送 Teams 或 Outlook 消息。用户打开消息时，里面的外部图片请求被触发，把预认证下载链接带到攻击者控制的站点。

预认证下载链接是这里的要害。它不要求攻击者登录租户，却可能带着下载文件所需的通行能力。链接一旦被带出边界，传统的“账号没丢就安全”就不够用了。

PromptArmor 称，同一注入在 Opus 4.7 等先进模型上也成功；测试中 5 次全链路成功。这个数字不能推成“所有 Copilot 场景都能一键攻破”，但足够说明一件事：问题不只是一句提示词，也不只是一款模型。

边界条件也要说清。攻击成立需要用户加载污染 Skill、代理能触发它、用户本身有相关文件权限，并且用户打开了对应消息。它目前是研究演示与披露，不等于微软已确认全面漏洞，更不等于真实客户已经大规模泄露。

为什么重要：用户授权，被代理改写了语义

过去企业安全有一个默认假设：用户有权限访问某个文件，大体意味着用户在某个明确场景里访问它。

Agent 加进来后，这句话变味了。用户有权限，不等于用户正在有意识地使用权限。代理可以替用户读文件、发消息、调接口，还可能把这些动作串成流程。

更麻烦的是计划任务。Copilot Cowork 支持 scheduled tasks，提示可以周期性执行。比如每周总结工作内容，本来是典型办公自动化；一旦 Skill 被污染，它也可能变成周期性触发的外传管道。用户不在场，风险照样跑。

这有点像 PC 时代的宏病毒。不完全一样，但结构相似：文档原本是内容，后来变成了可执行入口；协作消息原本是沟通，到了 Agent 时代，也可能变成数据出口。

我不太买账“换更强模型就好了”的说法。强模型可能更懂安全提示，也可能更会找文件、更会补全流程、更会把任务做到底。模型越能干，产品默认信任的价格越高。

谁该动手：管理员先收权限半径

最该紧张的不是普通个人用户，而是两类人：M365 管理员，以及准备把 Agent 接进内部流程的安全团队。

他们现在要做的，不是立刻喊停所有 Copilot，而是把它从“聊天框”改按“委托代理”来管。代理越像员工，越要套员工级别的最小授权、审计和出口控制。

BlockDownloadPolicy 是一个现实选项。它能压住预认证下载链接这类风险，但代价不小：用户可能只能在浏览器里访问内容，不能下载、打印、同步，也不能通过 Word、Excel、PowerPoint 等应用打开。安全不是免费开关，尤其在 Microsoft 365 这种重协作系统里。

接下来最该看的，不是又有哪个模型被测出来能不能防注入，而是微软和企业管理员会不会把几个默认值改硬：给自己发消息是否仍然免批准，Copilot 动作记录能否看见被注入内容，预认证链接能否更细粒度受控，计划任务能否被单独审计和限权。

这次演示真正提醒的是：企业 AI 的安全边界，正在从“谁登录了系统”转向“谁能诱导代理代你做事”。这条线画不清，自动化越顺手，账单越贵。