ДомСогласно секретному отчету, Microsoft Copilot уязвим для косвенной инъекции команд
Компания PromptArmor, занимающаяся исследованиями в области безопасности, недавно опубликовала отчет, в котором освещается серьезная уязвимость в службе искусственного интеллекта Copilot Cowork от Microsoft, входящей в состав Microsoft 365. Злоумышленники могут использовать метод, известный как «косвенная инъекция запросов», чтобы незаметно похищать и передавать конфиденциальные файлы из внутреннего облачного хранилища организации без согласия пользователей.
Вредоносные инструкции, скрытые в шаблонах Office
Как интегрированный ИИ-помощник, Cowork обладает широкими правами на отправку электронных писем, публикацию сообщений в Teams и доступ к внутренним данным из OneDrive и SharePoint. Однако исследователи обнаружили, что злоумышленники могут встраивать вредоносные инструкции в веб-страницы, документы или, казалось бы, обычные шаблоны автоматизации офиса, такие как «Еженедельный обзор работы», чтобы обманом заставить ИИ-агента их выполнить.
Когда пользователь просит Cowork обработать файл, содержащий эти вредоносные подсказки, ИИ-агент обманывается и ложно заявляет, что ему необходимо сгенерировать предварительный просмотр документа. Затем он автоматически извлекает предварительно аутентифицированные ссылки для скачивания конфиденциальных файлов и отправляет эти ссылки обратно злоумышленнику через сообщения Teams — все это происходит в фоновом режиме, что делает его крайне труднозаметным для пользователей.
Запланированные задачи усиливают риск и их трудно заблокировать
В отчете отмечается, что поскольку Copilot Cowork может выполнять задачи по расписанию, это значительно увеличивает угрозу безопасности. Например, повторяющиеся автоматизированные задачи, такие как «Еженедельный отчет», которые запускаются периодически, могут многократно запускать и выполнять цепочку атак в фоновом режиме — даже когда пользователь находится вдали от экрана и не использует систему активно.
В ходе тестов безопасности этот метод атаки достиг 100% успешности в пяти испытаниях. Что еще хуже, администраторы имеют ограниченные возможности по мониторингу или контролю таких «файлов навыков», и уязвимость не только эффективна в автоматическом режиме, но и остается уязвимой при явном вызове более мощных крупных моделей, таких как Claude Opus 4.7.
Связанная статья
Ведомства правительства Великобритании спорят по поводу энергопотребления центров обработки данных для искусственного интеллекта
Правительство Великобритании стоит перед серьезной задачей: развивать сектор чистой энергетики и одновременно стремиться стать мировым лидером в области искусственного интеллекта. Однако между ведомст
Управление киберпространства Китая вводит обязательную маркировку коротких видеороликов, созданных с помощью искусственного интеллекта, а также вымышленных видеороликов
Управление киберпространства Китая представило комплексный план по стандартизации маркировки контента коротких видеороликов, обязывающий платформы использовать шесть обязательных меток, в том числе «К
DeepL, известная своими услугами по переводу текстов, теперь занимается переводом речи
DeepL, компания-переводчик, наиболее известная своими инструментами для перевода текстов, сегодня представила набор решений для перевода «голос-голос», предназначенный для таких сценариев, как встречи
Рекомендации по связанным специальным темам
письмо
Лучшие программы для создания персонажей в жанре научной фантастики: генерация последовательных мотиваций персонажей и их роковых недостатков
Откройте для себя 20 лучших инструментов 2026 года для создания персонажей с помощью искусственного интеллекта, которые помогут вам придать своим героям глубину. В тщательно подобранном списке XIX.AI представлены самые популярные и революционные инструменты, способные генерировать правдоподобные мотивации и роковые недостатки персонажей. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой потенциал в области создания историй уже сейчас.
10 инструментов
xix.ai
Бизнес
Лучшее ПО для оптимизации цен с помощью ИИ: отслеживание конкурентов и автоматическая корректировка цен в магазине
Откройте для себя лучшее программное обеспечение 2026 года для оптимизации цен с помощью ИИ на сайте XIX.AI. В нашем тщательно подобранном списке представлены высокооцененные, революционные инструменты, которые отслеживают конкурентов и автоматически корректируют цены в вашем магазине для получения максимальной прибыли. Сравните бесплатные и платные варианты на основе реальных тестов. Получите преимущество в ценообразовании уже сейчас.
10 инструментов
xix.ai
код
Лучшие системы проверки кода на основе ИИ: автоматизация обеспечения соответствия стандартам чистого кода и рефакторинг файлов в устаревших репозиториях
Откройте для себя 20 лучших рецензентов кода на базе ИИ 2026 года на XIX.AI. В нашем тщательно составленном списке представлены высокооцененные, революционные инструменты для автоматизации проверки соответствия стандартам чистого кода и рефакторинга файлов в устаревших репозиториях. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемых рейтингов. Получите преимущество ИИ уже сегодня.
10 инструментов
xix.ai
Преобразование текста в речь
Лучшие приложения с функцией преобразования текста в речь на базе ИИ для детей с дислексией: помощь в обучении и повышение эффективности чтения
Откройте для себя лучшие приложения с технологией TTS на базе искусственного интеллекта 2026 года, специально отобранные для помощи людям с дислексией. В нашем рейтинге экспертов сравниваются бесплатные и платные инструменты, а также освещаются мощные функции, способствующие повышению эффективности чтения и обучения. Откройте для себя революционные решения, которые обязательно стоит попробовать, чтобы раскрыть потенциал учащихся. Начните свое путешествие на XIX.AI.
10 инструментов
xix.ai
Создание комиксов
Лучшие генераторы на базе ИИ для сёнэн-манги: создавайте динамичные сцены боевых действий и эффекты энергии
Откройте для себя лучшие генераторы искусственного интеллекта для манги в стиле «сёнен» 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке представлены мощные инструменты для создания динамичных сцен боевых действий и эффектных энергетических эффектов. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой творческий потенциал и начните создавать эпическую мангу уже сегодня!
15 инструментов
xix.ai
Бизнес
Лучшие приложения для учета расходов на базе ИИ: сканируйте чеки и автоматически классифицируйте корпоративные расходы
Лучшие программы для учета расходов с ИИ 2026 года: самые популярные инструменты для сканирования чеков и автоматической классификации корпоративных расходов. Откройте для себя мощные, революционные решения для удобного управления расходами, точного финансового мониторинга и оптимизации соблюдения нормативных требований. Наш тщательно составленный и еженедельно обновляемый обзор бесплатных и платных вариантов поможет вам найти идеальный вариант. Воспользуйтесь преимуществами ИИ с помощью рекомендаций экспертов XIX.AI.
10 инструментов
xix.ai
Комментарии (0)
Компания PromptArmor, занимающаяся исследованиями в области безопасности, недавно опубликовала отчет, в котором освещается серьезная уязвимость в службе искусственного интеллекта Copilot Cowork от Microsoft, входящей в состав Microsoft 365. Злоумышленники могут использовать метод, известный как «косвенная инъекция запросов», чтобы незаметно похищать и передавать конфиденциальные файлы из внутреннего облачного хранилища организации без согласия пользователей.
Вредоносные инструкции, скрытые в шаблонах Office
Как интегрированный ИИ-помощник, Cowork обладает широкими правами на отправку электронных писем, публикацию сообщений в Teams и доступ к внутренним данным из OneDrive и SharePoint. Однако исследователи обнаружили, что злоумышленники могут встраивать вредоносные инструкции в веб-страницы, документы или, казалось бы, обычные шаблоны автоматизации офиса, такие как «Еженедельный обзор работы», чтобы обманом заставить ИИ-агента их выполнить.
Когда пользователь просит Cowork обработать файл, содержащий эти вредоносные подсказки, ИИ-агент обманывается и ложно заявляет, что ему необходимо сгенерировать предварительный просмотр документа. Затем он автоматически извлекает предварительно аутентифицированные ссылки для скачивания конфиденциальных файлов и отправляет эти ссылки обратно злоумышленнику через сообщения Teams — все это происходит в фоновом режиме, что делает его крайне труднозаметным для пользователей.
Запланированные задачи усиливают риск и их трудно заблокировать
В отчете отмечается, что поскольку Copilot Cowork может выполнять задачи по расписанию, это значительно увеличивает угрозу безопасности. Например, повторяющиеся автоматизированные задачи, такие как «Еженедельный отчет», которые запускаются периодически, могут многократно запускать и выполнять цепочку атак в фоновом режиме — даже когда пользователь находится вдали от экрана и не использует систему активно.
В ходе тестов безопасности этот метод атаки достиг 100% успешности в пяти испытаниях. Что еще хуже, администраторы имеют ограниченные возможности по мониторингу или контролю таких «файлов навыков», и уязвимость не только эффективна в автоматическом режиме, но и остается уязвимой при явном вызове более мощных крупных моделей, таких как Claude Opus 4.7.
Ведомства правительства Великобритании спорят по поводу энергопотребления центров обработки данных для искусственного интеллекта
Правительство Великобритании стоит перед серьезной задачей: развивать сектор чистой энергетики и одновременно стремиться стать мировым лидером в области искусственного интеллекта. Однако между ведомст
Управление киберпространства Китая вводит обязательную маркировку коротких видеороликов, созданных с помощью искусственного интеллекта, а также вымышленных видеороликов
Управление киберпространства Китая представило комплексный план по стандартизации маркировки контента коротких видеороликов, обязывающий платформы использовать шесть обязательных меток, в том числе «К
DeepL, известная своими услугами по переводу текстов, теперь занимается переводом речи
DeepL, компания-переводчик, наиболее известная своими инструментами для перевода текстов, сегодня представила набор решений для перевода «голос-голос», предназначенный для таких сценариев, как встречи
Откройте для себя 20 лучших инструментов 2026 года для создания персонажей с помощью искусственного интеллекта, которые помогут вам придать своим героям глубину. В тщательно подобранном списке XIX.AI представлены самые популярные и революционные инструменты, способные генерировать правдоподобные мотивации и роковые недостатки персонажей. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой потенциал в области создания историй уже сейчас.
10 инструментов
xix.ai
Откройте для себя лучшее программное обеспечение 2026 года для оптимизации цен с помощью ИИ на сайте XIX.AI. В нашем тщательно подобранном списке представлены высокооцененные, революционные инструменты, которые отслеживают конкурентов и автоматически корректируют цены в вашем магазине для получения максимальной прибыли. Сравните бесплатные и платные варианты на основе реальных тестов. Получите преимущество в ценообразовании уже сейчас.
10 инструментов
xix.ai
Откройте для себя 20 лучших рецензентов кода на базе ИИ 2026 года на XIX.AI. В нашем тщательно составленном списке представлены высокооцененные, революционные инструменты для автоматизации проверки соответствия стандартам чистого кода и рефакторинга файлов в устаревших репозиториях. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемых рейтингов. Получите преимущество ИИ уже сегодня.
10 инструментов
xix.ai
Откройте для себя лучшие приложения с технологией TTS на базе искусственного интеллекта 2026 года, специально отобранные для помощи людям с дислексией. В нашем рейтинге экспертов сравниваются бесплатные и платные инструменты, а также освещаются мощные функции, способствующие повышению эффективности чтения и обучения. Откройте для себя революционные решения, которые обязательно стоит попробовать, чтобы раскрыть потенциал учащихся. Начните свое путешествие на XIX.AI.
10 инструментов
xix.ai
Откройте для себя лучшие генераторы искусственного интеллекта для манги в стиле «сёнен» 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке представлены мощные инструменты для создания динамичных сцен боевых действий и эффектных энергетических эффектов. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой творческий потенциал и начните создавать эпическую мангу уже сегодня!
15 инструментов
xix.ai
Лучшие программы для учета расходов с ИИ 2026 года: самые популярные инструменты для сканирования чеков и автоматической классификации корпоративных расходов. Откройте для себя мощные, революционные решения для удобного управления расходами, точного финансового мониторинга и оптимизации соблюдения нормативных требований. Наш тщательно составленный и еженедельно обновляемый обзор бесплатных и платных вариантов поможет вам найти идеальный вариант. Воспользуйтесь преимуществами ИИ с помощью рекомендаций экспертов XIX.AI.
10 инструментов
xix.ai
