一个 AI 助手给你自己发邮件,听起来不像高危动作。
这正是 Microsoft Copilot Cowork 这次被演示的问题所在:它能在无需用户额外批准的情况下,向用户自己的邮箱发送邮件。邮件如果包含外部图片,用户打开时就会向外部服务器发起请求。攻击者要的不是那张图片,而是这次请求里能不能夹带敏感数据。
最关键的补强信息,是 OneDrive 这一环。OneDrive 可以生成预授权下载链接。只要提示注入诱导智能体生成文件链接,再把链接通过邮件渲染、外部图片请求等方式带出去,攻击者就可能拿到可下载文件的入口。
这不是“Copilot 全线被攻破”。边界要说清楚:它依赖提示注入成功、智能体执行动作、链接被生成并外传,也不等于攻击者可以任意读取所有 OneDrive 文件。
但这并不让问题变轻。
因为企业安全最怕的,常常不是一个惊天漏洞,而是一串“看起来合理”的默认功能连续放行。
发生了什么:一条很短的外带链路
这次披露里,最有价值的不是又证明了“提示注入存在”。这件事早就不新鲜了。
它把企业智能体里最危险的几块拼图摆到了一张桌上:
| 环节 | 发生了什么 | 风险点 |
|---|---|---|
| 提示注入 | 攻击者诱导 Copilot Cowork 执行异常指令 | AI 不只回答,还会行动 |
| 自动发邮件 | 智能体可向用户本人邮箱发送邮件,无需额外批准 | “发给自己”被系统低估 |
| 外部图片 | 邮件渲染图片时访问外部服务器 | 网络请求变成外带通道 |
| OneDrive 链接 | 文件可生成预授权下载链接 | 链接一旦外泄,文件可能被下载 |
这条链路短得让人不舒服。
它没有依赖科幻式的模型觉醒,也没有靠什么复杂黑客电影桥段。它靠的是产品为“省事”准备好的能力:读文件、生成链接、发邮件、渲染内容、访问外部网络。
每一步都像正常功能。
连起来,就是数据外带。
为什么重要:智能体风险从“说错话”变成“替你动手”
过去谈大模型安全,最常见的担心是幻觉:答案编错、引用乱造、建议不靠谱。
那当然麻烦。但多数时候,它还停在“说错话”。
智能体不一样。它开始有手了。
它能读文件,能写邮件,能调工具,能跨应用完成任务。产品经理喜欢这件事,因为这才像生产力。用户也喜欢,因为确认弹窗少一点,工作流就顺一点。
安全团队头疼的也是同一件事。
模型从聊天窗口走进企业系统后,攻击面就变了。以前你担心它输出什么;现在你还要担心它替用户做什么、发到哪里、触发了什么外部请求。
这次 Copilot Cowork 的问题,补上的正是这条现实链路:
- “发给自己”并不天然安全;
- 邮件外部图片不是小问题;
- OneDrive 预授权链接是便利功能,也是泄露杠杆;
- 提示注入一旦碰到工具权限,就不再只是文本污染。
邮件远程图片早就被安全圈反复讨论。它会泄露打开行为、IP、设备信息,也能做营销追踪。
放到智能体场景里,味道变了。
远程图片不再只是广告商的眼睛。它可能变成 AI 代办流程的排水口。
旧通道,新权限。旧人性,新自动化。
谁最受影响:不是普通聊天用户,而是上了企业 AI 的组织
普通用户当然也该警惕,但这件事最该刺痛的是企业客户,尤其是已经把 AI 接进 Microsoft 365、OneDrive、Outlook 这类办公系统的组织。
影响最大的不是“用不用 Copilot 写周报”的员工。
是这些人:
- 管 Microsoft 365 权限、邮件策略和数据防泄漏的 IT / 安全团队;
- 准备让智能体自动处理文件、邮件、审批、客户资料的业务部门;
- 正在把“少问用户、多替用户办”当产品体验目标的企业 AI 负责人。
他们需要重新审视一个默认假设:发给用户本人、生成内部文件链接、渲染邮件内容,这些动作单独看都不吓人。
可智能体不是人在点按钮。
人会犹豫,会看上下文,会被流程约束,会承担后果。智能体只有权限、上下文和执行链。它不知道哪一步开始越界,除非系统把边界写死。
问题不在“AI 像不像同事”。
问题在于,企业真的把它当同事授权了,却没给它同事该有的责任链。
我更在意默认权限,而不是这次演示本身
这类事件最容易被轻描淡写:需要特定条件,需要用户打开邮件,需要提示注入成功,需要文件链接生成。
这些限制都成立。
但如果一个系统的安全性建立在“攻击链最好别凑齐”上,那就已经不太稳了。企业系统里,攻击链迟早会被人耐心凑齐。安全从来怕的不是一次偶然,而是可复制的路径。
我不太买账的是一种产品叙事:智能体越少打扰用户,就越高级。
这话只说了一半。
少打扰,意味着少确认。少确认,意味着默认授权扩大。默认授权扩大,意味着一次提示注入可能撬动更多真实动作。
厂商要证明 AI 有用,就会推动它少问、多做、跨应用流转。用户也会配合,因为没人喜欢每一步都点“确认”。企业管理层更容易被“效率”说服,因为节省时间能写进 PPT,潜在泄露很难提前入账。
天下熙熙,皆为利来。
这句话放在企业 AI 上很合适。效率的利,正在把安全的账往后推。
历史上类似的事不少。电子邮件当年把办公通信效率拉满,也顺手放大了钓鱼、病毒附件和垃圾邮件。浏览器让信息访问变得丝滑,也把脚本、跨站请求、插件漏洞带进每台电脑。
今天的智能体不完全一样,但重复的是同一种结构:为了让技术更有用,我们给它更多权限;为了让体验更顺,我们减少打断;为了让增长更快,我们把治理留到事故之后。
接下来该看什么:别只等补丁,要看权限设计改不改
如果只看这次事件,厂商可以修某个点:限制自动发邮件、过滤外部图片、收紧链接生成、拦截可疑内容。
这些都该做。
但真正值得盯的是三件事:
- 智能体发出外部通信前是否必须经过明确确认;
- 文件链接、共享链接、预授权下载链接是否被纳入更严格的敏感动作;
- 邮件、文档、聊天窗口里的外部资源加载是否会被默认当成数据外带通道处理。
企业也别只等微软修。自己先问三句话:
- 这个智能体能访问哪些文件?
- 它能不经确认把内容发到哪里?
- 它的输出会不会触发外部网络请求?
如果三项同时放开,所谓 AI 助手就不只是助手。
它更像一个带着公司权限、缺少刹车、还能往外递东西的中间人。
这才是 Copilot Cowork 这次演示最有价值的提醒:智能体产品越像同事,越不能只按同事来信任。人有责任、流程和后果。AI 只有执行速度。
速度越快,门缝越大。