Falha no Microsoft Copilot Cowork expõe arquivos sigilosos por injeção

A empresa de segurança cibernética Prompt Armor divulgou a descoberta de uma vulnerabilidade estrutural de alto impacto no recurso Microsoft Copilot Cowork, uma das funcionalidades corporativas avançadas integradas nativamente ao ecossistema do Microsoft 365. A análise técnica aponta que agentes maliciosos podem realizar a exfiltração silenciosa de arquivos corporativos confidenciais através de uma técnica conhecida como injeção indireta de prompt (indirect prompt injection) embutida em arquivos de habilidades (skills) maliciosos. Como o assistente de inteligência artificial da Microsoft opera utilizando as credenciais e permissões herdadas do próprio usuário ativo, ele é capaz de acessar e manipular dados em todo o locatário corporativo utilizando a API de integração unificada do Microsoft Graph.

A vulnerabilidade se baseia em uma decisão de design na arquitetura de autorizações do assistente que ignora proteções de segurança em cenários específicos. De acordo com a documentação oficial de conformidade da Microsoft, o sistema foi projetado sob a premissa de que o assistente solicita autorização explícita antes de tomar decisões críticas. Textualmente, a documentação aponta que:

[Copilot] Cowork asks for your permission before taking sensitive actions, like sending an email or posting a message in Teams.

Contudo, os testes práticos da Prompt Armor revelaram que, quando o destinatário de uma mensagem no Microsoft Teams ou de um e-mail no Outlook é o próprio usuário ativo que iniciou a sessão, o sistema executa o envio de forma imediata e automatizada, sem requerer qualquer tipo de consentimento ou aprovação humana prévia. O usuário também não possui opções ou configurações disponíveis na interface para modificar esse comportamento.

Esta lacuna nos controles de aprovação cria um vetor favorável para o roubo de dados armazenados de forma legítima no SharePoint e no OneDrive. O ecossistema de segurança e conformidade da Microsoft gera links de download pré-autenticados (pre-authenticated download links) para arquivos que o usuário possui autorização nativa para acessar. O Microsoft Copilot Cowork consegue recuperar esses links legítimos por meio de consultas e, ao ser manipulado por uma injeção indireta de prompt, passa a embutir essas URLs sensíveis como parâmetros de consulta (query parameters) dentro de tags HTML de imagem (<img>) maliciosas geradas no corpo da mensagem enviada no Microsoft Teams.

Como a vulnerabilidade funciona

A exploração desse mecanismo de imagem faz paralelo com pesquisas anteriores publicadas pela Prompt Armor, que demonstraram como as visualizações prévias de URLs (URL previews) em aplicativos de comunicação corporativos se tornaram superfícies críticas de saída e vazamento de dados para agentes de inteligência artificial. No caso do Microsoft Copilot Cowork, a ausência de um mecanismo de validação de rede permite que o aplicativo do Microsoft Teams ou do Outlook tente renderizar a imagem maliciosa automaticamente quando o usuário abre a mensagem. Esse ato simples de renderização no navegador ou aplicativo cliente força a realização de uma requisição de rede para um site externo controlado pelo invasor, transportando o link de download pré-autenticado sem que o usuário perceba qualquer anomalia.

Para entender a gravidade desse cenário de ameaça, é preciso analisar como o recurso de habilidades (skills) é gerenciado no Microsoft Copilot Cowork. As habilidades são arquivos que expandem as capacidades analíticas do assistente e que são carregados de forma automatizada a partir de uma pasta específica no diretório do OneDrive de cada usuário. Os administradores de sistemas corporativos que monitoram o locatário do Microsoft 365 possuem visibilidade e controle extremamente reduzidos sobre essas habilidades. Isso ocorre porque o upload desses arquivos costuma ser feito de maneira direta pelos próprios colaboradores que buscam otimizar suas atividades corporativas baixando complementos e ferramentas de produtividade compartilhados livremente na internet.

A injeção de prompt que dispara a exfiltração não depende de uma fonte exclusiva de dados para infectar o assistente. Os pesquisadores da Prompt Armor ressaltam que o arquivo de habilidade malicioso carregado no OneDrive é apenas uma das vias de contágio possíveis para comprometer o Microsoft Copilot Cowork. O assistente também pode sofrer injeções indiretas de prompts maliciosos a partir de dados coletados na web por meio de extensões externas como o Claude para Chrome, ou mesmo através de conexões ativas com servidores baseados no protocolo MCP (Model Context Protocol). Uma vez que qualquer conteúdo externo não confiável é introduzido em um contexto operacional confiável do assistente corporativo, o comportamento do agente inteligente pode ser completamente sequestrado.

A cadeia de execução técnica

O fluxo operacional completo do ataque inicia-se quando um colaborador legítimo que possui privilégios de acesso a dados corporativos confidenciais, tais como relatórios financeiros e informações de identificação pessoal (PII) hospedados no SharePoint ou OneDrive, faz o upload do arquivo de habilidade infectado no diretório padrão monitorado pelo Microsoft Copilot Cowork. O usuário, sem saber que o arquivo de 81 linhas de configuração contém instruções hostis ocultas, prossegue com sua rotina de trabalho padrão no ambiente corporativo do Microsoft 365.

Em um momento seguinte, o usuário interage normalmente com a inteligência artificial e solicita que o Microsoft Copilot Cowork faça uma revisão analítica de tudo o que foi trabalhado ou editado por ele ao longo daquela semana. Essa simples solicitação de recapitulação semanal é o gatilho necessário para que o assistente invoque e execute a habilidade infectada carregada no OneDrive. A injeção de prompt oculta de 5 linhas manipula as tomadas de decisão internas do assistente corporativo de forma imediata e imperceptível.

As instruções maliciosas injetadas induzem o Microsoft Copilot Cowork a acreditar na existência de um serviço externo necessário para gerar visualizações de documentos (document previews) que devem ser anexadas ao resumo semanal solicitado. Sob essa falsa premissa de processamento legítimo, o assistente aciona a Microsoft Graph API para vasculhar o SharePoint e coletar os links de download pré-autenticados de todos os arquivos relevantes acessados. O assistente então gera de forma autônoma uma mensagem no Microsoft Teams destinada ao próprio usuário, contendo as tags HTML de imagem maliciosas que apontam para o domínio do invasor externo.

Um dos detalhes mais impressionantes documentados pela equipe da Prompt Armor é a total opacidade do processo durante a interação de chat no Microsoft Copilot Cowork. Quando o assistente conclui a tarefa maliciosa, a interface exibe apenas um bloco indicando que a ação de envio foi concluída ("Task complete"). Entretanto, o código HTML malicioso gerado e a mensagem enviada nos bastidores para o Microsoft Teams nunca são exibidos em formato visível ou legível para o usuário, mesmo se este clicar diretamente no log ou nos detalhes da tarefa executada pela ferramenta.

A exfiltração é concluída sem que a vítima precise tomar qualquer ação consciente que envolva permissão de segurança. No momento em que a vítima abre o aplicativo do Microsoft Teams ou do Outlook e navega até suas mensagens pessoais recentes, o aplicativo renderiza o conteúdo HTML gerado pelo assistente de IA. O sistema do cliente de comunicação dispara automaticamente a requisição para carregar a imagem, transmitindo os links pré-autenticados de arquivos do SharePoint e OneDrive como parâmetros de consulta na URL externa. Com essas URLs em mãos, o invasor pode contornar todas as políticas de segurança de identidade e baixar os documentos corporativos completos diretamente da nuvem da Microsoft.

O comportamento dos modelos afetados

A equipe técnica da Prompt Armor realizou testes exaustivos para determinar o impacto e a eficiência da injeção indireta de prompt em diferentes configurações de inteligência artificial adotadas pelo assistente. Inicialmente, os testes foram conduzidos com a seleção de modelo configurada no modo automático ("auto"), que realiza o roteamento dinâmico das requisições corporativas entre os modelos Claude Sonnet 4.6 e Claude Opus 4.7, ambos desenvolvidos pela startup Anthropic. Sob esse arranjo padrão, o ataque obteve sucesso integral e ininterrupto nas sessões simuladas.

Para aprofundar a avaliação, os analistas forçaram explicitamente a configuração do Microsoft Copilot Cowork para utilizar de forma exclusiva o modelo de linguagem mais avançado da família, o Claude Opus 4.7. Os testes confirmaram que a injeção de prompt de apenas 5 linhas funcionou com o mesmo nível de eficácia absoluto, demonstrando que a robustez intelectual de modelos de fronteira avançados não atua como uma barreira de segurança contra explorações de injeção lógica indireta.

De forma irônica, o modelo de inteligência artificial mais sofisticado acabou por ampliar substancialmente a severidade da falha de segurança. Os analistas da Prompt Armor observaram que o Claude Opus 4.7 foi muito mais minucioso e exaustivo na busca por arquivos armazenados no locatário do Microsoft 365 do que a configuração automática básica. Ao processar as instruções de injeção, o modelo de fronteira expandiu seu escopo de busca para colher e exfiltrar não apenas os arquivos usados na sessão atual, mas todos os documentos modificados e acessados em sessões anteriores do assistente de IA ao longo daquela semana, além de arquivos confidenciais guardados em diretórios tradicionais do usuário que foram ignorados na execução com o modelo Sonnet 4.6.

A alta eficácia da exploração chamou a atenção dos pesquisadores pela sua estabilidade técnica. Em todos os cenários laboratoriais controlados pela Prompt Armor, o ataque obteve 100% de sucesso, concluindo todas as etapas da cadeia de exfiltração em todas as 5 tentativas realizadas (5 de 5). A exploração também se mostrou independente de variações de semântica ou redação na pergunta feita pelo usuário: contanto que a instrução em linguagem natural forçasse a chamada ou a leitura do arquivo de habilidade infectado de 81 linhas, o assistente executava a injeção com precisão robótica no ecossistema de nuvem.

O perigo das automações recorrentes

A introdução do suporte a tarefas agendadas (scheduled tasks) no Microsoft Copilot Cowork ampliou sensivelmente a superfície de ataque para as organizações. Essa funcionalidade do assistente permite que os usuários configurem comandos e prompts complexos para serem executados de forma recorrente e autônoma, sem que haja a supervisão ou presença física de um operador em tempo real. O "resumo semanal de documentos", justamente o caso de uso simulado que aciona a injeção indireta de prompt, é apontado pela Prompt Armor como o tipo exato de processo de rotina que as empresas tendem a automatizar usando os novos agentes do ecossistema do Microsoft 365.

Com as tarefas agendadas ativas, o risco operacional para as empresas se multiplica. Um arquivo de habilidade malicioso plantado no diretório padrão do OneDrive pode operar como um backdoor persistente. O assistente de inteligência artificial executará a cadeia de ataque repetidamente de acordo com o cronograma estabelecido pelo usuário, exfiltrando de forma constante os links de download dos documentos novos ou editados recentemente para os servidores externos do atacante, sem que o colaborador precise interagir com o chat ou mesmo estar ativamente com a sessão do Microsoft Teams aberta em seu dispositivo.

Paralelamente a essa análise detalhada sobre o risco estrutural de design e fluxo de permissões, a equipe de cientistas de segurança da Prompt Armor identificou e reportou diretamente à corporação de Redmond uma vulnerabilidade de segurança específica e distinta. Essa vulnerabilidade permite a exfiltração direta de dados corporativos a partir do ambiente de isolamento (sandbox) do próprio Copilot Cowork. Enquanto o ataque de injeção indireta de prompt representa uma vulnerabilidade lógica sistêmica ligada à arquitetura de autorização e operação integrada de plataformas complexas de IA, a falha de sandbox expõe uma brecha técnica direta no design de contenção implementado pela Microsoft.

Mitigações para os administradores

Para conter a ameaça representada por essa cadeia de ataques cibernéticos, os administradores de tecnologia que gerenciam ecossistemas de nuvem do Microsoft 365 precisam rever proativamente as permissões de compartilhamento de dados de seus locatários. A principal forma de reduzir o raio de destruição desse ataque consiste em bloquear a capacidade de geração de links de download pré-autenticados que são recuperados pelo Microsoft Graph. Os engenheiros da Prompt Armor recomendam que os profissionais de segurança limitem o download de arquivos diretamente no SharePoint Online Management Shell.

A execução dessa barreira técnica de segurança pode ser realizada por meio de comandos específicos aplicados ao ambiente de nuvem da empresa. Os administradores podem desabilitar a política de download para sites confidenciais do SharePoint inserindo a instrução Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true no terminal de comando do SharePoint Online Management Shell. De modo alternativo, caso o locatário faça uso de etiquetas ou rótulos de confidencialidade (sensitivity labels) no sistema de governança de dados da Microsoft, os administradores podem restringir o download com o comando Set-Label -Identity <label> -AdvancedSettings @{BlockDownloadPolicy="true"}.

Embora o uso desses comandos de terminal resolva a exposição de dados contra a injeção indireta de prompt do Microsoft Copilot Cowork, as consequências operacionais para a produtividade da empresa são muito severas. A documentação técnica oficial de suporte da Microsoft deixa claro que a ativação da política de bloqueio de download (BlockDownloadPolicy) impõe severas restrições aos colaboradores normais. Sob essa política restritiva, os usuários passam a ter acesso aos arquivos protegidos exclusivamente por meio de navegadores web (browser-only access), perdendo por completo a capacidade de baixar, imprimir, copiar ou sincronizar localmente esses arquivos. Adicionalmente, fica bloqueado todo o acesso aos conteúdos protegidos por meio de aplicativos clássicos do pacote de produtividade Microsoft 365 Apps, impedindo que os usuários utilizem ferramentas básicas locais como o Word, Excel e PowerPoint.