← Zpět na komunitu
Copilot

Microsoft Copilot Cowork: Únik souborů přes e-mail a prompt injection

Zranitelnost v Microsoft Copilot Cowork umožnila potenciální únik souborů. Chyba demonstruje rizika spojená s autonomními agenty a prompt injection.

Microsoft Copilot Cowork: Únik souborů přes e-mail a prompt injection

Nedávno odhalená zranitelnost v Microsoft Copilot Cowork poukázala na bezpečnostní rizika, která mohou vzniknout při nasazování autonomních AI agentů do firemních procesů. Incident, který byl popsán na Simon Willison's Weblog, ukázal, jak by útočník mohl využít kombinaci funkcí AI agenta k neoprávněnému přístupu a exfiltraci citlivých firemních souborů.

Konkrétně se jednalo o situaci, kdy agent Copilot Cowork dokázal odesílat e-maily do uživatelské schránky bez předchozího schválení. Klíčovým prvkem zranitelnosti bylo, že v těchto e-mailech mohly být vykresleny obrázky, které následně volaly externí URL adresy. Tato kombinace otevřela cestu k exploitu, který by mohl mít pro firmy vážné důsledky.

Mechanismus zranitelnosti

Podstata problému spočívala v několikastupňovém exploit řetězci. Prvním krokem bylo zneužití prompt injection. Útočník mohl prostřednictvím pečlivě konstruovaného promptu přimět agenta Copilot Cowork, aby vygeneroval a odeslal e-mail s určitým obsahem. Tento e-mail, byť zdánlivě neškodný, obsahoval prvek, který umožňoval volání externích zdrojů.

Druhým krokem bylo využití schopnosti e-mailových klientů vykreslovat obrázky z externích URL. Agent Copilot Cowork mohl být instruován tak, aby do odesílaného e-mailu vložil odkaz na obrázek hostovaný útočníkem. Když uživatel otevřel takový e-mail, jeho e-mailový klient se pokusil načíst obrázek z externí URL. V tomto okamžiku došlo k úniku informací.

Nejzávažnější částí zranitelnosti bylo, že útočník mohl skrze prompt injection získat přímé download odkazy na soubory uložené v OneDrive. Tyto odkazy jsou často pre-authenticated, což znamená, že k jejich stažení není potřeba další ověření, pokud je má útočník k dispozici. Kombinace autonomního odesílání e-mailů s vykreslováním externích URL a získáním pre-authenticated OneDrive odkazů vytvořila funkční exploit řetězec, který umožnil útočníkovi stáhnout si soubory napřímo.

Microsoft tuto chybu již opravil a zranitelnost by v současné době neměla představovat přímou hrozbu. Avšak celý incident slouží jako důležitá lekce a připomíná generický problém, který se týká agentních systémů obecně. Kombinace funkcí, jako je přístup k e-mailu, schopnost vykreslovat externí obsah a práce s pre-authenticated odkazy, představuje potenciálně nebezpečnou synergii, pokud nejsou zavedeny robustní bezpečnostní mechanismy.

Širší důsledky pro AI agenty

Tento případ názorně demonstruje, že prompt injection není pouze teoretická hrozba z akademického prostředí, ale reálný vektor útoku s praktickými dopady na bezpečnost firemních dat. Firmy, které zvažují nasazení AI agentů s přístupem k interním systémům a datům, musí brát taková rizika vážně.

Integrace AI agentů s vysokou autonomií a širokými oprávněními, zejména pokud zahrnují interakci s komunikačními kanály jako je e-mail, vyžaduje extrémní obezřetnost. Je nutné pečlivě zvážit veškeré potenciální interakce mezi jednotlivými komponenty a funkcemi agenta, aby se předešlo neočekávaným a zneužitelným kombinacím.

Incident s Copilot Coworkem podtrhuje potřebu neustálého auditu a testování AI systémů, zejména těch, které manipulují s citlivými informacemi nebo mají schopnost autonomního jednání. Bezpečnostní modely pro AI agenty musí být komplexní a zohledňovat nejen přímé zneužití, ale i nepřímé vektory útoků, které vznikají spojením zdánlivě neškodných funkcí.

Co to znamená pro vaši firmu

Zdroj Simon Willison's Weblog →