Microsoft Copilot Cowork pokazuje koliko brzo uredski agent može postati kanal za curenje
AI agent, e-mail i dijeljivi link stvaraju rizičan izlazni kanal.📷 AI-generated image / TECH&SPACE
- ★Copilot Cowork je mogao poslati e-mail korisniku bez dodatnog odobrenja.
- ★Vanjska slika u poruci može učitati URL s napadačeva servera.
- ★OneDrive preautorizirane poveznice čine lanac curenja posebno opasnim.
Najopasniji dio priče o Microsoft Copilot Coworku nije neka egzotična ranjivost koja traži filmski napad. Opasan je običan poslovni tok: agent obavi zadatak, pošalje e-mail korisniku i u toj poruci prikaže sadržaj. U demonstraciji to izgleda kao korisna automatizacija. U sigurnosnom modelu to je kombinacija čitanja, pisanja i mrežnog izlaza.
Prema opisu koji je objavio Simon Willison, Copilot Cowork mogao je slati poruke u korisnikov vlastiti inbox bez dodatnog odobrenja. Problem počinje kada agent prije toga primi zlonamjernu uputu kroz prompt injection. Napadač tada ne mora izravno ući u korisnikov račun. Dovoljno je navesti agenta da u poruku ugradi vanjsku sliku, odnosno URL koji e-mail klijent učitava s udaljenog servera kada korisnik otvori poruku.
Taj obrazac nije nov u web sigurnosti, ali kod AI agenata postaje znatno oštriji. Agent nije samo renderer teksta. On može imati pristup dokumentima, e-mailu, datotekama i alatima koji stvaraju stvarne nuspojave. Ako model može pročitati privatnu datoteku, oblikovati e-mail i izazvati mrežni zahtjev kroz prikaz slike, granica između pomoćnika i kanala za iznošenje podataka postaje pretanka.
Willison ovu klasu problema opisuje kroz lethal trifecta: pristup privatnim podacima, izloženost nepouzdanim uputama i mogućnost slanja informacija prema van. Copilot Cowork ovdje je konkretan primjer te trostruke kombinacije. Nije presudno je li sučelje elegantno ili je zadatak na papiru legitiman. Presudno je da agent istodobno vidi privatni kontekst i može proizvesti izlaz koji vanjski sustav može zabilježiti.
Prompt injection, vanjske slike u e-mailu i OneDrive preautorizirane poveznice stvaraju prekratak put od privatne datoteke do napadačeva servera.
Vanjska slika u poruci može postati tihi mehanizam za curenje podataka.📷 AI-generated image / TECH&SPACE
Oštrica slučaja je OneDrive. Izvorni opis navodi da OneDrive može stvarati preautorizirane poveznice za preuzimanje. Ako prompt injection nagovori agenta da izradi takvu poveznicu za datoteku i zatim je umetne u URL vanjske slike, otvaranje e-maila može poslati zahtjev prema napadačevu serveru. U tom zahtjevu napadač može vidjeti podatak koji mu omogućuje preuzimanje datoteke.
To je upravo tip rizika koji se ne rješava samo boljim sistemskim promptom. Sistemske upute mogu pomoći, ali nisu dovoljno čvrsta sigurnosna granica kada proizvod ima pristup dokumentima, komunikaciji i mrežnim efektima. Kontrole moraju biti arhitekturne: dozvole po radnji, blokiranje vanjskog sadržaja u porukama koje je generirao agent, odvajanje čitanja privatnih datoteka od slanja podataka prema van i eksplicitna potvrda kada se stvaraju dijeljive poveznice.
Kategorija ove priče jest AI, ali jezgra je sigurnost proizvoda. Microsoft Copilot sve se više pozicionira kao sloj koji povezuje aplikacije, datoteke i komunikaciju. Zato ovakvi slučajevi nisu rubni za korisnike. Što je agent korisniji, to veća postaje šteta ako može spojiti privatni kontekst s izlaznim kanalom koji nitko ne nadzire.
Trezven zaključak glasi: agenti ne smiju automatski dobiti kombinaciju čitanja, odlučivanja i slanja samo zato što to dobro izgleda u demonstraciji. Ako sustav može sam stvoriti link na dokument i sam proizvesti poruku koja učitava udaljeni resurs, sigurnosni model mora pretpostaviti da će netko pokušati pretvoriti taj tok u eksfiltraciju.
