首页一份未公开的报告显示,微软 Copilot 存在间接提示注入漏洞
安全研究公司PromptArmor最近发布了一份报告,指出微软AI助手服务Copilot Cowork(作为Microsoft 365的一部分)中存在一个严重的安全漏洞。攻击者可以利用一种名为“间接提示注入”的方法,在未经用户同意的情况下,悄无声息地窃取并泄露组织内部云存储中的机密文件。
隐藏在Office模板中的恶意指令
作为一款集成式AI助手,Cowork拥有广泛的权限,可发送电子邮件、在Teams中发布消息,并访问OneDrive和SharePoint中的内部数据。然而,研究人员发现,攻击者可以在网页、文档或看似常规的办公自动化模板(如“每周工作回顾”)中嵌入恶意指令,诱使AI助手执行这些指令。
当用户要求 Cowork 处理包含这些恶意指令的文件时,AI 代理会被诱骗,谎称需要生成文档预览。随后,它会自动检索敏感文件的预认证下载链接,并通过 Teams 消息将这些链接发送回攻击者——所有操作均在后台进行,使得用户极难察觉。
定时任务加剧风险且难以阻断
报告指出,由于 Copilot Cowork 支持定时执行任务,这大大增加了安全风险。例如,像“每周报告摘要”这样的周期性自动化任务,即使在用户离开屏幕且未主动使用系统时,仍会定期运行,从而在后台反复触发并执行攻击链。
在安全测试中,该攻击方法在五次试验中均实现了100%的成功率。更糟糕的是,管理员对这类“技能文件”的监控和控制能力有限,且该漏洞不仅在自动模式下有效,在显式调用Claude Opus 4.7等更强大的大型模型时仍可被利用。
相关文章
在获得SpaceX的大额投资后,编程初创公司Cursor AI计划在亚太地区招聘200人
人工智能编程初创公司Cursor近日宣布了一项重大的全球扩张计划,拟在未来六个月内在亚太地区招聘200名员工。主要招聘岗位包括市场营销工程师、现场工程师和人工智能部署工程师。此举彰显了这家总部位于旧金山的独角兽企业将核心技术推向国际市场的决心。目前,Cursor已在新加坡设立办事处,由高级技术高管西蒙·格林(Simon Green)领导,招聘范围将覆盖日本、悉尼、墨尔本和印度等关键市场。除亚太战
Claude 被用于创建恶意 npm 包:逾 670 个包遭入侵,威胁开源生态
最近一起网络安全事件揭示了大型语言模型(LLMs)如何被用于开发恶意软件。安全研究员Sibi Moosa发现,一名化名为“mousie-5212-super-formatter”的攻击者利用Anthropic公司的Claude AI生成有害代码,并污染了npm包生态系统。 在短时间内,超过670个恶意包被上传至npm注册表,此类攻击的速度与自动化程度引发了广泛警觉。此次攻击的核心在于利用人工智能大
随着印度加快科技发展步伐,信实集团公布了1100亿美元的人工智能投资计划
印度信实集团(Reliance)亿万富翁董事长穆凯什·安巴尼(Mukesh Ambani)周四宣布了一项投资10万亿卢比(约合1100亿美元)的计划,将在未来七年内在印度各地建设人工智能计算基础设施。安巴尼周四在新德里举行的“印度人工智能影响力峰会”上表示,这笔投资将用于建设吉瓦级数据中心、全国性的边缘计算网络,以及与信实集团旗下Jio电信平台集成的新人工智能服务。安巴尼指出,信实集团已在古吉拉特
相关专题推荐
动画创作
专为东华设计的AI动漫生成器:可用于创建网络小说角色及漫画头像
探索2026年最适合制作中文动画的人工智能工具。我们精心挑选的顶级列表中包含了各种强大的工具,能够帮助你创建出令人惊叹的网络小说角色和漫画头像。通过实际测试来对比免费选项和付费选项,找到最适合你的创作工具,今天就在XIX.AI上将你的故事变为现实吧。
10 个工具
xix.ai
漫画创作
漫画领域顶尖的AI自动上色工具:零一致性错误地应用平涂色彩
立即访问 XIX.AI,探索 2026 年最优秀的漫画 AI 自动上色工具。我们精心筛选的清单汇集了广受好评、颠覆行业的解决方案,这些工具能以零一致性错误的方式应用平涂色彩,从而大幅提升您的工作效率。通过免费版与付费版的对比分析、实际测试以及每周更新的排行榜,找到最适合您的工具。立即开启您的 AI 优势。
10 个工具
xix.ai
写作
顶尖 AI 角色设定生成器:生成一致的角色动机与致命缺陷
探索2026年最优秀的AI人物设定生成工具,助您塑造鲜活立体的角色。XIX.AI精心筛选的这份清单汇集了广受好评、颠覆传统的工具,能够生成具有内在逻辑的动机和致命缺陷。通过实际测试对比免费与付费选项。立即释放您的叙事潜能。
10 个工具
xix.ai
商业
顶级 AI 定价优化软件:追踪竞争对手并自动调整店铺价格
在 XIX.AI 上探索 2026 年最佳 AI 定价优化软件。我们精心挑选的清单汇集了备受好评、具有颠覆性意义的工具,这些工具不仅能追踪竞争对手,还能自动调整您的店铺价格,从而实现利润最大化。通过实际测试对比免费与付费选项。立即掌握您的定价优势。
10 个工具
xix.ai
代码
最佳 AI 代码审查工具:自动确保代码符合规范,并重构遗留代码库文件
在 XIX.AI 上探索 2026 年最佳 AI 代码审查工具。我们的精选列表汇集了备受好评、具有颠覆性的工具,可自动确保代码规范并重构遗留代码库文件。通过实际测试和每周更新的排行榜,对比免费与付费选项。立即开启您的 AI 优势。
10 个工具
xix.ai
文字转语音
专为阅读障碍设计的顶级AI语音合成应用:助力学生提升学习与阅读效率
探索2026年最新精选的高评分AI语音合成(TTS)应用,专为阅读障碍者提供支持。我们的专家评级对比了免费与付费工具,重点介绍了能够提升阅读效率和学习效果的强大功能。探索这些必试的、具有革命性意义的解决方案,释放学生的潜能。立即访问XIX.AI,开启您的探索之旅。
10 个工具
xix.ai
评论 (0)
0/500
安全研究公司PromptArmor最近发布了一份报告,指出微软AI助手服务Copilot Cowork(作为Microsoft 365的一部分)中存在一个严重的安全漏洞。攻击者可以利用一种名为“间接提示注入”的方法,在未经用户同意的情况下,悄无声息地窃取并泄露组织内部云存储中的机密文件。
隐藏在Office模板中的恶意指令
作为一款集成式AI助手,Cowork拥有广泛的权限,可发送电子邮件、在Teams中发布消息,并访问OneDrive和SharePoint中的内部数据。然而,研究人员发现,攻击者可以在网页、文档或看似常规的办公自动化模板(如“每周工作回顾”)中嵌入恶意指令,诱使AI助手执行这些指令。
当用户要求 Cowork 处理包含这些恶意指令的文件时,AI 代理会被诱骗,谎称需要生成文档预览。随后,它会自动检索敏感文件的预认证下载链接,并通过 Teams 消息将这些链接发送回攻击者——所有操作均在后台进行,使得用户极难察觉。
定时任务加剧风险且难以阻断
报告指出,由于 Copilot Cowork 支持定时执行任务,这大大增加了安全风险。例如,像“每周报告摘要”这样的周期性自动化任务,即使在用户离开屏幕且未主动使用系统时,仍会定期运行,从而在后台反复触发并执行攻击链。
在安全测试中,该攻击方法在五次试验中均实现了100%的成功率。更糟糕的是,管理员对这类“技能文件”的监控和控制能力有限,且该漏洞不仅在自动模式下有效,在显式调用Claude Opus 4.7等更强大的大型模型时仍可被利用。
在获得SpaceX的大额投资后,编程初创公司Cursor AI计划在亚太地区招聘200人
人工智能编程初创公司Cursor近日宣布了一项重大的全球扩张计划,拟在未来六个月内在亚太地区招聘200名员工。主要招聘岗位包括市场营销工程师、现场工程师和人工智能部署工程师。此举彰显了这家总部位于旧金山的独角兽企业将核心技术推向国际市场的决心。目前,Cursor已在新加坡设立办事处,由高级技术高管西蒙·格林(Simon Green)领导,招聘范围将覆盖日本、悉尼、墨尔本和印度等关键市场。除亚太战
Claude 被用于创建恶意 npm 包:逾 670 个包遭入侵,威胁开源生态
最近一起网络安全事件揭示了大型语言模型(LLMs)如何被用于开发恶意软件。安全研究员Sibi Moosa发现,一名化名为“mousie-5212-super-formatter”的攻击者利用Anthropic公司的Claude AI生成有害代码,并污染了npm包生态系统。 在短时间内,超过670个恶意包被上传至npm注册表,此类攻击的速度与自动化程度引发了广泛警觉。此次攻击的核心在于利用人工智能大
随着印度加快科技发展步伐,信实集团公布了1100亿美元的人工智能投资计划
印度信实集团(Reliance)亿万富翁董事长穆凯什·安巴尼(Mukesh Ambani)周四宣布了一项投资10万亿卢比(约合1100亿美元)的计划,将在未来七年内在印度各地建设人工智能计算基础设施。安巴尼周四在新德里举行的“印度人工智能影响力峰会”上表示,这笔投资将用于建设吉瓦级数据中心、全国性的边缘计算网络,以及与信实集团旗下Jio电信平台集成的新人工智能服务。安巴尼指出,信实集团已在古吉拉特
探索2026年最适合制作中文动画的人工智能工具。我们精心挑选的顶级列表中包含了各种强大的工具,能够帮助你创建出令人惊叹的网络小说角色和漫画头像。通过实际测试来对比免费选项和付费选项,找到最适合你的创作工具,今天就在XIX.AI上将你的故事变为现实吧。
10 个工具
xix.ai
立即访问 XIX.AI,探索 2026 年最优秀的漫画 AI 自动上色工具。我们精心筛选的清单汇集了广受好评、颠覆行业的解决方案,这些工具能以零一致性错误的方式应用平涂色彩,从而大幅提升您的工作效率。通过免费版与付费版的对比分析、实际测试以及每周更新的排行榜,找到最适合您的工具。立即开启您的 AI 优势。
10 个工具
xix.ai
探索2026年最优秀的AI人物设定生成工具,助您塑造鲜活立体的角色。XIX.AI精心筛选的这份清单汇集了广受好评、颠覆传统的工具,能够生成具有内在逻辑的动机和致命缺陷。通过实际测试对比免费与付费选项。立即释放您的叙事潜能。
10 个工具
xix.ai
在 XIX.AI 上探索 2026 年最佳 AI 定价优化软件。我们精心挑选的清单汇集了备受好评、具有颠覆性意义的工具,这些工具不仅能追踪竞争对手,还能自动调整您的店铺价格,从而实现利润最大化。通过实际测试对比免费与付费选项。立即掌握您的定价优势。
10 个工具
xix.ai
在 XIX.AI 上探索 2026 年最佳 AI 代码审查工具。我们的精选列表汇集了备受好评、具有颠覆性的工具,可自动确保代码规范并重构遗留代码库文件。通过实际测试和每周更新的排行榜,对比免费与付费选项。立即开启您的 AI 优势。
10 个工具
xix.ai
探索2026年最新精选的高评分AI语音合成(TTS)应用,专为阅读障碍者提供支持。我们的专家评级对比了免费与付费工具,重点介绍了能够提升阅读效率和学习效果的强大功能。探索这些必试的、具有革命性意义的解决方案,释放学生的潜能。立即访问XIX.AI,开启您的探索之旅。
10 个工具
xix.ai
