微软Copilot Studio自动化Agent被攻破,自动泄露私有知识库与工具权限,甚至完整导出客户关系管理(CRM)数据,且过程中无人干预,实现了零点击攻击。
• 攻击起点为反向工程,探查Agent的知识源及可用工具,利用邮件接口触发恶意指令注入(prompt injection)。
• 恶意负载绕过输入过滤,诱导Agent以邮件形式发送敏感数据,如“Customer Support Account Owners.csv”文件内容及整个Salesforce CRM记录。
• 被攻击Agent默认监听任意邮件,缺乏访问控制,导致攻击者能远程操控数据泄露。
• 微软获报后迅速响应,60天内修补漏洞,主要通过增强prompt注入检测与限制默认触发规则实现防护。
• 然而,语言模型固有的prompt注入风险无法根除,黑白名单难以覆盖所有变种,始终存在被绕过的可能。
• 构建AI Agent时需谨慎授权工具权限,限制触发入口,采用零信任策略,减少潜在攻击面。
• 此事件揭示即便顶级厂商平台安全措施仍不足,AI Agent安全需持续重视与动态防御。
详见 Zenity Labs 深度解析👉 labs.zenity.io/p/a-copilot-studio-story-2-when-aijacking-leads-to-full-data-exfiltration-bc4a
人工智能安全 AI代理 PromptInjection 数据泄露 CopilotStudio