Microsoft Copilot Cowork Exfiltrates Files
Компания PromptArmor обнаружила уязвимость в Microsoft Copilot Cowork, позволяющую злоумышленникам похищать файлы пользователей. Агенты Copilot Cowork могли отправлять письма на почту пользователя без подтверждения, а эти сообщения отображались с внешними изображениями, способными инициировать сетевые запросы к сторонним серверам. Через такой механизм данные могли утекать к атакующему при открытии скомпрометированного письма. Поскольку OneDrive умеет создавать предаутентифицированные ссылки для скачивания, успешная инъекция промпта позволяла перехватить эти ссылки и скачать файлы жертвы. Simon Willison отмечает, что главной проблемой при проектировании агентных систем по-прежнему остаётся защита от утечки данных.
26th May 2026 - Link Blog
26 мая 2026 — Link Blog
Microsoft Copilot Cowork Exfiltrates Files (via) The biggest challenge in designing agentic systems continues to be preventing them from enabling attackers to exfiltrate data.
Microsoft Copilot Cowork похищает файлы (via) Главной проблемой при проектировании агентных систем по-прежнему остаётся защита от утечки данных злоумышленниками.
In this case Microsoft Copilot Cowork (yes, that's a real product name) was allowing agents to send emails to the user's own inbox without approval... but those messages were then displayed in a way that could leak data to an attacker via rendered images:
В данном случае Microsoft Copilot Cowork (да, это реальное название продукта) позволял агентам отправлять письма на собственный почтовый ящик пользователя без одобрения… однако эти сообщения затем отображались так, что данные могли утечь к злоумышленнику через отрисованные изображения:
Because these messages can contain external images that trigger network requests to external websites, data can be exfiltrated when a user opens a compromised message sent by the agent.
Поскольку такие сообщения могут содержать внешние изображения, инициирующие сетевые запросы к внешним сайтам, данные могут быть похищены в момент, когда пользователь открывает скомпрометированное сообщение, отправленное агентом.
Since OneDrive can create pre-authenticated download links, a successful prompt injection could cause those links to be leaked, allowing files to be downloaded by the attacker.
Поскольку OneDrive умеет создавать предаутентифицированные ссылки для скачивания, успешная инъекция промпта могла привести к утечке этих ссылок, позволяя злоумышленнику скачать файлы.
Recent articles
Недавние статьи
Заметки об энциклике Папы Льва XIV об ИИ — 25 мая 2026 Datasette Agent — 21 мая 2026 Gemini 3.5 Flash: дороже, но Google планирует использовать его для всего — 19 мая 2026
This is a link post by Simon Willison, posted on 26th May 2026.
Это пост-ссылка Simon Willison, опубликованный 26 мая 2026.
Monthly briefing
Ежемесячная рассылка
Sponsor me for $10/month and get a curated email digest of the month's most important LLM developments.
Поддержите меня за $10/месяц и получайте кураторскую подборку важнейших новостей в области LLM за месяц.
Pay me to send you less!
Платите мне, чтобы получать меньше писем!
Раскрытие информации О сайте © 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025 2026