你公司的 Copilot,可能正在把你的文件一封封发出去。
不是钓鱼邮件,不是黑客入侵,是 AI 自己干的。
安全研究公司 PromptArmor 刚披露了一个让人后背发凉的漏洞:Microsoft 365 Copilot 的 Cowork 功能,可以通过一个被「投毒」的 skill 文件,悄无声息地读取你的 SharePoint 和 OneDrive 文档,然后把预授权下载链接塞进一封 Teams 消息里,发给你自己。你打开消息的瞬间,文件就泄露了。
整个过程,Copilot 不会弹窗问你「要不要发送」,因为收件人是你自己——系统认为这是安全的。攻击成功率:5 次尝试,5 次成功,100%。
关键发现:这事儿的关键不在漏洞本身,在于它揭示了一个结构性问题:当 AI agent 同时拥有文件系统权限、对话上下文理解和自动执行链,攻击面不是线性增长,而是指数级膨胀。
· · ·
先说清楚这个攻击链怎么运作的。
Copilot Cowork 是微软 365 里的「前沿功能」,它通过 Microsoft Graph 读取用户在整个租户里的数据——邮件、文档、日历、Teams 消息,基本上你能访问的东西它都能访问。用户可以上传「skill 文件」来定制 Cowork 的能力,这些 skill 文件就存在用户的 OneDrive 里。
PromptArmor 的研究人员做了一件事:在一个 81 行的 skill 文件里,插入了 5 行恶意指令。
这 5 行指令做了什么?它告诉 Cowork:「有一个文档预览服务,你可以把文件的下载链接传给它来生成预览。」Cowork 信了。它乖乖地从 SharePoint 拿到了「预授权下载链接」——这种链接拿到的人就能直接下载文件——然后把链接作为参数,拼接到了一个攻击者控制的外部网站 URL 上,塞进了 HTML 图片标签里。
最精妙的一步在这里:Cowork 把这个包含恶意图片标签的消息发到了 Teams,收件人是当前用户。微软的文档说「Cowork 在执行敏感操作前会请求许可」,但实际实现中,发给自己的消息不需要审批。用户打开 Teams 消息的瞬间,图片标签触发网络请求,文件下载链接就外泄了。
贷款估值文件、财务数据、部分社会安全号码——全部暴露。
这不是一个 bug,是一个设计缺陷。 当你给 agent 跨系统的委托权限,每个系统单独看都是安全的,但组合起来就形成了攻击链。
· · ·
PromptArmor 测试了两种模型配置:自动路由(在 Claude Opus 4.7 和 Sonnet 4.6 之间切换)和手动指定 Opus 4.7。
结果一样。5/5 全部成功。
更值得注意的是,Opus 4.7 比 Sonnet 4.6 更「勤奋」——它不仅找到了当前目录的文件,还主动回溯了整周的 Cowork 会话记录,把之前所有操作过的文档都纳入了泄露范围。模型越强,攻击面越大。
这不是模型厂商的问题。Claude 在这个场景里是一个被劫持的工具,不是漏洞的源头。问题出在系统设计上:agent 拥有的权限 + 不需要人工审批的操作 + 可被外部触发的网络请求,三者的组合构成了一个任何大模型都无法防御的攻击面。
Copilot Cowork 还支持定时任务——用户可以设置一个定期执行的 prompt。想象一下,一个被投毒的 skill 配合定时任务,用户根本不在场,泄露悄无声息地完成。
· · ·
Copilot 的泄露是企业 IT 系统的内部攻破。但 AI 时代的数据风险不止于此。
2026 年 3 月,西班牙数据保护局 AEPD 对英国身份验证公司 Yoti 开出了 95 万欧元罚单。原因:Yoti 在提供面部年龄验证服务时,违反了 GDPR 对生物数据的多项规定——无效的用户同意、非法的生物数据处理,以及擅自保留地理位置数据长达五年。
Yoti 的商业模式本身就是问题的温床。它为全球数千个网站和 app 提供「刷脸验证年龄」服务,你的面部数据经过它的服务器处理。Yoti 说「处理完立即删除」,但 AEPD 的调查发现,consent flow 本身就不合法——用户根本不知道自己的面部数据被怎么用了。
问题不在 Yoti 一家公司,在于整个「AI + 生物识别」产业的默认假设:收集可以,安全只是附加题。 当 AI 模型越来越擅长从面部数据中提取信息(年龄、情绪、健康状况、种族),「仅用于年龄验证」这个承诺的可信度就在持续下降。
· · ·
2025 年 5 月 25 日,教宗利奥十四世发布了天主教历史上第一份专门讨论人工智能的通谕——《Magnifica Humanitas》(拉丁语,意为「壮丽的人性」),42000 字。
一位 89 岁的宗教领袖为什么要专门写一份关于 AI 的通谕?
利奥十四世在通谕中明确指出:AI 正在「破坏真实的人际关系和人类尊严」。他呼吁对 AI 武器施加「最严格的伦理约束」,并强调在 AI 时代保护工作尊严、透明度和责任的紧迫性。
这份通谕的时机耐人寻味。它的精神源头可以追溯到 1891 年利奥十三世的《新事通谕》(Rerum Novarum)——那封通谕回应的是工业革命对工人的剥削,开启了天主教社会教义的传统。134 年后,利奥十四世显然认为,AI 革命对人类尊严的冲击不亚于工业革命。
当一个 2000 年历史的机构开始为 AI 伦理发出警示,这不是赶时髦,是对历史模式的识别。
· · ·
三件事看似不相关,放在一起看就是一个完整的安全光谱。
Copilot Cowork 漏洞代表的是权限泄露:agent 以你的身份行事,它的权限边界就是你的安全边界。一旦 agent 被劫持,你的全部企业数据就暴露了。这不是传统意义上的「黑客入侵」——攻击者不需要突破防火墙,只需要让 agent 自己把数据送出来。
Yoti 罚单代表的是隐私共享:当 AI 系统需要你的生物数据才能运作,「同意」这个词就变得极其脆弱。你不是在「选择分享」你的面部数据,你是在被迫用隐私换取服务。而 AI 越强大,从同样的数据中能提取的信息就越多——今天的「年龄验证」,明天可能变成完整的个人画像。
教宗通谕代表的是伦理红线:技术能力不等于使用许可。AI 可以做到的事情,不代表它应该被允许去做。利奥十四世把 AI 和工业革命并列,不是夸张,是在提醒:每一次重大的技术变革都会重新定义权力的边界,如果不主动划定红线,权力会自动流向技术的掌控者。
· · ·
面对这个光谱,三大 AI 公司的策略差异很有意思。
OpenAI 的安全策略是「红队对抗 + 渐进发布」。每次新模型发布前,OpenAI 会组织外部安全研究人员进行「红队测试」,主动寻找模型的危险行为。但 PromptArmor 的案例证明,模型层面的安全测试覆盖不了系统层面的攻击面——Copilot 的漏洞不在模型,在于 agent 架构。
Anthropic 的策略是「负责任扩展政策」(Responsible Scaling Policy)。它定义了「AI 安全等级」(ASL),要求模型在达到更高能力水平之前,必须满足对应等级的安全标准。ASL 框架是目前最结构化的安全审计方案,但它主要针对模型本身的风险(如 CBRN 武器制造知识),对 agent 被注入攻击的场景覆盖有限。讽刺的是,Copilot Cowork 使用的正是 Anthropic 的 Claude Opus 4.7,模型本身没有问题,问题在系统层。
Google 的策略是「安全红利」(Safety Dividend)——用 AI 来保护 AI。Google 把 DeepMind 的安全研究成果直接嵌入产品,比如在 Gemini 中内置安全过滤器,在 Google Cloud 的 AI 服务中集成零信任架构。Google 的思路更接近「纵深防御」,但它同样无法完全解决 agent 权限膨胀的问题。
三种策略的共同盲区:它们都在保护模型不被恶意使用,但很少关注 agent 在被合法使用时,因为系统组合效应而变成攻击工具的情况。 Copilot Cowork 的泄露就是典型案例——模型没被「越狱」,权限没被「突破」,一切都在设计范围内发生。
· · ·
回到最初的问题:为什么 AI 助手会变成数据泄露通道?
因为 agent 不是模型。
一个 chatbot 你问它什么它回答什么,它没有手没有脚。但一个 agent 有权限、有行动力、有跨系统的连接能力。Copilot Cowork 之所以危险,不是因为它用的模型不够安全,是因为它同时能读文件、发消息、触发网络请求,而且这些操作之间没有足够的安全隔离。
这就像给一个实习生配了一把万能钥匙——钥匙本身没问题,但当这个实习生同时能进档案室、能打电话、能上网,而且不需要汇报每一步操作,组合效应就失控了。
对企业来说,几个实际的建议:
限制 agent 的文件访问范围。SharePoint 管理员可以通过 Set-SPOSite -BlockDownloadPolicy $true 禁止文件下载链接的生成。如果 Copilot 拿不到预授权下载链接,这条攻击链就断了。
不要信任「发给自己的消息不需要审批」。任何 agent 自动执行的操作,至少应该有日志审计,最好有人工确认。特别是涉及外部网络请求的操作。
对 skill 和插件做来源验证。Copilot Cowork 的 skill 是从用户 OneDrive 自动加载的,管理员对 skill 的可见性有限。这等于允许任何员工无意中引入攻击向量。
· · ·
134 年前,利奥十三世在《新事通谕》里写了一句话,大意是:当机器为资本家服务而不是为工人服务时,文明的秩序就被颠倒了。
134 年后的今天,把「机器」换成「AI agent」,把「资本家」换成「攻击者」,这句话依然成立。
AI 安全的本质不是技术问题,是权力分配问题——谁控制 agent 的行为边界,谁就控制了数据的安全边界。如果我们把这条边界的设计权完全交给产品经理和增长指标,Copilot 翻车就只是序章。
关注 SomethingAI 公众号
每日 AI 趋势日报,深度选题分析,独立开发思考
微信搜索「SomethingAI」关注