微软 Copilot Cowork 被曝文件泄露漏洞：Agent 系统面临数据外泄挑战

一句话看懂

微软 Copilot Cowork 因 Agent 可未经批准向用户收件箱发送含外部图片的邮件，导致攻击者能通过 prompt injection 窃取 OneDrive 文件。

详细发生了什么

安全公司 PromptArmor 披露，微软 Copilot Cowork（一个 2026 年 3 月发布的 AI 协作工具）存在严重数据泄露漏洞。该工具允许 AI Agent 向用户自己的收件箱发送邮件，且无需额外审批。但这些邮件可以包含外部图片——当用户打开邮件时，图片会触发网络请求，将数据发送到攻击者控制的服务器。

更危险的是，OneDrive 支持生成预认证下载链接。攻击者通过 prompt injection 诱导 Agent 将这些链接嵌入邮件，一旦用户打开，链接就会被外泄，攻击者即可直接下载文件。这属于典型的“致命三重奏”（Lethal Trifecta）攻击模式：Agent 可发送邮件、邮件可渲染外部内容、OneDrive 链接可被滥用。

中文圈视角

对国内用户而言，Copilot Cowork 目前需通过微软官方渠道使用，且依赖国际版 Microsoft 365，国内企业若使用国际版需注意数据出境合规。此漏洞的严重性在于：

1. 国产平替的参考价值：国内类似产品如钉钉 AI 助理、飞书智能伙伴、百度如流等，同样具备 Agent 发送消息、调用云盘链接的能力。企业应检查这些产品是否允许 Agent 发送含外部资源的消息，以及是否有审批机制。
2. 具体场景风险：如果国内用户使用 Copilot Cowork 处理 OneDrive 中的合同、财务报表等敏感文件，攻击者通过 prompt injection 即可窃取。国内云盘（如阿里云盘、腾讯微云）若支持类似预认证链接，也存在类似风险。
3. 监管盲点：国内 AI 安全法规主要关注内容生成，对 Agent 系统的数据外泄（尤其是通过图片外链）讨论较少。此案例提示企业需在部署 Agent 时增加“出站请求白名单”和“链接权限校验”。

几条值得记住的细节

• 漏洞核心：Agent 可向用户收件箱发送邮件，无需审批，邮件可含外部图片触发网络请求。
• 攻击链：prompt injection → Agent 发送含 OneDrive 预认证链接的邮件 → 用户打开邮件 → 链接被外泄。
• 受影响产品：Microsoft Copilot Cowork，2026 年 3 月发布。
• 微软尚未发布官方补丁，PromptArmor 已公开漏洞细节。
• 类似攻击模式被称为“Lethal Trifecta”，涉及 Agent 通信、外部内容渲染、预认证链接三个要素。

一句话总结

使用 AI Agent 处理敏感文件时，务必限制其发送外部链接和渲染外部内容的能力，否则一个 prompt injection 就能让文件拱手送人。