Microsoft Copilot Cowork — агентная система для совместной работы внутри экосистемы Microsoft 365 — получила описание рабочего вектора атаки. Агент мог отправлять письма в inbox пользователя без его подтверждения. Эти письма рендерились с внешними изображениями. А OneDrive генерирует pre-authenticated ссылки на скачивание файлов — и такие ссылки утекали через HTTP-запросы к серверу атакующего в момент открытия письма.
«Because these messages can contain external images that trigger network requests to external websites, data can be exfiltrated when a user opens a compromised message sent by the agent.»
Контекст
Саймон Уиллисон — разработчик, один из соавторов Django и последовательный исследователь безопасности LLM-систем — описал этот случай с прямым комментарием: главная нерешённая задача при проектировании агентных систем — не дать атакующим возможность exfiltrate данные. Copilot Cowork стал очередным подтверждением этого тезиса.
Сам продукт назван без иронии — Microsoft Copilot Cowork — и входит в расширяющееся семейство Copilot-агентов Microsoft 365. Агенты в этой среде действуют от имени пользователя: работают с документами, инициируют переписку, взаимодействуют с файловым хранилищем. Именно эта автономность создала поверхность для атаки.
Вектор через рендеринг внешних изображений давно известен в email-безопасности — это классический tracking pixel, поднятый на новый уровень. Но в agentic-контексте он обрёл новую опасность: агент как посредник позволяет злоумышленнику действовать внутри доверенной среды, не имея к ней прямого доступа.
Аналитика
Механизм атаки выстраивается в три шага. Первый: злоумышленник внедряет вредоносную инструкцию в контент, который агент обрабатывает (prompt injection). Второй: агент, следуя инструкции, отправляет письмо в inbox пользователя — без approval, потому что такое разрешение у него было. Третий: пользователь открывает письмо, браузер или клиент загружает внешнее изображение, в URL которого закодированы pre-authenticated ссылки OneDrive. Файлы скачаны.
Фундаментальная проблема — агент получил права действовать без явного одобрения пользователя на каждое действие. Это нарушает принцип least privilege: агент, способный отправлять письма, читать файлы и генерировать ссылки, де-факто является привилегированным сервисным аккаунтом. К нему должны применяться те же стандарты контроля, что и к IAM-ролям в любой серьёзной инфраструктуре.
Для отрасли это не единичный баг — это системный паттерн. Agentic AI расширяет поверхность атаки пропорционально расширению полномочий агентов. Каждая новая интеграция — с почтой, с хранилищем, с календарём — это потенциальный вектор, если он не защищён human-in-the-loop на критичных действиях.
Кейсы применения в бизнесе
B2B-SaaS стартап на Microsoft 365: если Copilot-агенты используются для автоматизации email-коммуникаций или работы с документами — немедленно проверьте, требуют ли они явного подтверждения перед отправкой писем. Автоматическая отправка без approval-шага — готовый вектор атаки. Итог при исправлении: сохранность корпоративных данных и документация соответствия требованиям ИБ для потенциальных клиентов.
Корпорация с развёрнутой инфраструктурой Microsoft 365: если OneDrive используется как корпоративное хранилище, а Copilot активирован на уровне тенанта — поставьте задачу службе ИБ проверить все активные агенты на предмет бесконтрольного доступа к файловому хранилищу. Pre-authenticated ссылки OneDrive в руках скомпрометированного агента — это прямой путь к утечке договоров, финансовых документов и переписки.
SMB и локальный бизнес в КР/СНГ: Microsoft 365 Business — распространённый выбор, и Copilot всё чаще идёт в комплекте с лицензией. Даже один некорректно настроенный агент с доступом к корпоративному OneDrive создаёт реальный риск. Проверьте активные агенты через Admin Center и включите блокировку внешних изображений в корпоративном почтовом клиенте.
Кейсы в личной жизни
Разработчик, строящий agentic-пайплайны: включите обязательный human-in-the-loop для любых действий агента, затрагивающих email и файловые хранилища. Это не опция — это минимальный стандарт при работе с чужими или рабочими данными. Проектируйте агентов с явными границами: что разрешено без подтверждения, что — нет.
Корпоративный пользователь Microsoft 365: проверьте, какие Copilot-агенты активированы в вашем аккаунте, и ограничьте их разрешения до минимально необходимого. Подозрительные письма с внешними изображениями от агентов — сигнал для проверки. Отключите автоматическую загрузку внешних изображений в почтовом клиенте.
Фрилансер или контент-мейкер с AI-автоматизацией: применяйте принцип изоляции — отдельный аккаунт или хранилище для работы агента, без доступа к критичным документам. Это простейшая мера, которая существенно снижает радиус возможного ущерба при любой agentic-атаке.
Как применить сегодня
- Войдите в Microsoft 365 Admin Center → раздел Copilot/Agents → проверьте, каким агентам разрешена отправка писем без подтверждения.
- Включите блокировку внешних изображений в корпоративном почтовом клиенте — это убирает целый класс side-channel атак через рендеринг.
- Для каждого нового агента применяйте принцип least privilege: доступ только к ресурсам, необходимым для конкретной задачи, ни байтом больше.
- Добавьте approval-шаг перед любым исходящим действием агента (отправка письма, создание ссылки, изменение файла) — особенно если агент обрабатывает внешний или пользовательский контент.
- Подпишитесь на блог Саймона Уиллисона — один из наиболее оперативных и технически точных источников по уязвимостям в agentic-системах.