← semua berita

Microsoft Copilot Cowork bisa dikelabui untuk membocorkan file

AI · · · sumber (simonwillison.net)

PromptArmor membongkar celah di Microsoft Copilot Cowork yang mengubah agent itu jadi jalur eksfiltrasi file, dan tulisan Simon Willison menerangkan kenapa ini penting. Rantai serangannya merangkai tiga hal yang masing-masing kelihatan wajar. Agent bisa mengirim email tanpa persetujuan pengguna. Email itu me-render konten gambar eksternal saat dibuka. Dan tautan unduh OneDrive yang sudah pre-authenticated bisa diakses siapa pun yang memegang URL-nya.

Gabungkan ketiganya dan prompt injection yang sampai ke agent dapat membuat ia mengirim pesan ke kotak masuk pengguna sendiri berisi referensi gambar OneDrive. Saat pengguna membuka pesan itu, renderer akan melontarkan request ke server penyerang dengan URL file ikut menempel. Penyerang lalu memegang tautan unduh langsung ke file yang tidak pernah dimaksudkan untuk dibagikan. Poin Willison: kegagalan di sini tidak terletak di satu komponen. Tiap bagian masuk akal sendiri-sendiri. Kegagalannya muncul ketika sistem agentic diberi kemampuan menggabungkan semuanya.

Ia menempatkan ini sebagai bagian dari pola yang berulang di keamanan agent. Setiap kali sebuah agent boleh melakukan aksi dengan efek samping (mengirim email, fetch URL, menulis ke penyimpanan bersama) tanpa manusia meninjau output spesifiknya, prompt injection berubah dari ancaman teoretis jadi serangan praktis. Pembongkaran PromptArmor sebelumnya pada produk Copilot lain mengikuti bentuk yang sama.

Kenapa ini penting

Untuk tim yang mulai memasang fitur agentic di kotak masuk atau penyimpanan dokumen enterprise, ini model ancaman yang perlu diantisipasi. Langkah berbahayanya jarang berupa satu tool call, melainkan rantai yang melewati batas kepercayaan. Solusinya biasanya checkpoint human-in-the-loop di aksi keluar, bukan model yang lebih pintar.

SecurityAgentsPrompt Injection