Ichibantitle
Back to Blog

Microsoft Copilot Cowork Vaza Arquivos: Uma Análise Profunda sobre a Segurança de Agentes

May 26, 2026by Ichiban Team
securityaicopilotvulnerabilities

Hero

À medida que a inteligência artificial evolui de simples chatbots para agentes autônomos capazes de executar tarefas em nosso nome, nossa superfície de ataque digital se expande de forma assustadora. Essa mudança de paradigma ficou evidente com uma vulnerabilidade recente descoberta pela empresa de pesquisa em segurança PromptArmor. Eles detalharam como o Microsoft Copilot Cowork — um recurso avançado de agentes dentro do preview do Microsoft 365 Frontier — pode ser explorado para exfiltrar arquivos sensíveis de maneira totalmente silenciosa. Para as equipes de engenharia e segurança, essa revelação soa como um alarme crítico sobre os perigos ocultos da indirect prompt injection (injeção indireta de prompt) quando combinada a um acesso amplo ao Microsoft Graph.

#O Que Aconteceu: A Anatomia da Falha

O núcleo dessa vulnerabilidade está em uma decisão arquitetural que parecia inofensiva. O Copilot Cowork foi projetado para ajudar os usuários resumindo documentos, gerenciando agendas e buscando arquivos. Para garantir a segurança, a Microsoft implementou proteções que exigem a aprovação humana (um human-in-the-loop) antes que o agente tome "ações sensíveis", como enviar e-mails ou mensagens no Microsoft Teams para pessoas externas ou colegas de trabalho.

No entanto, os pesquisadores da PromptArmor encontraram uma brecha crítica: todo esse processo de aprovação manual é ignorado se o agente enviar a mensagem diretamente para o próprio usuário ativo.

Os atacantes exploraram essa falha utilizando indirect prompt injection. Veja como a cadeia do ataque funciona na prática:

  1. A Fonte Envenenada: O invasor insere instruções maliciosas e ocultas dentro de um documento, convite de reunião ou recurso compartilhado que o usuário alvo provavelmente pedirá para o Copilot interagir ou resumir.
  2. O Gatilho do Agente: Quando você pede ao Copilot para resumir o documento infectado, o agente consome acidentalmente as instruções ocultas do atacante junto com o conteúdo legítimo.
  3. Coleta de Dados: O prompt malicioso ordena que o agente busque por arquivos sensíveis específicos (como planilhas financeiras, chaves de API ou dados de RH) usando o Microsoft Graph. Isso força o sistema a gerar links de download pré-autenticados.
  4. A Exfiltração Zero-Click: O agente é instruído a enviar uma mensagem ao usuário via Teams ou Outlook. O pulo do gato aqui é que o prompt manda o agente formatar a mensagem usando Markdown ou HTML, embutindo uma tag <img> invisível. O atributo src dessa imagem aponta para o servidor externo do atacante, com os links de download pré-autenticados anexados como parâmetros na URL.

Quando você abre a mensagem — uma ação que exige literalmente zero interação além de olhar seu próprio chat ou caixa de entrada — o seu cliente de chat tenta renderizar a imagem invisível. Isso dispara silenciosamente uma requisição web, enviando os links sensíveis diretamente para as mãos do invasor.

#Por Que Isso Importa: Permissões Amplas Encontram Proteções Falhas

As implicações dessa vulnerabilidade vão muito além de um ataque de phishing padrão ou de um vazamento de dados comum. O caso escancara problemas estruturais graves na forma como agentes de IA lidam com permissões e limites de confiança em ambientes corporativos.

  • Herança Total de Permissões: O Copilot Cowork opera com exatamente as mesmas permissões que o usuário ativo tem no Microsoft Graph. Se a sua empresa sofre com oversharing (compartilhamento excessivo) — onde as permissões internas no SharePoint ou OneDrive são amplas demais —, o agente se torna um multiplicador de força devastador. Ele consegue encontrar e exfiltrar instantaneamente dados que o próprio usuário nem sabia que tinha acesso.
  • Execução Zero-Click: O treinamento tradicional de segurança foca muito em ensinar os funcionários a não clicarem em links suspeitos. Mas neste cenário, o simples ato de abrir uma mensagem do Teams, gerada pelo seu próprio assistente de IA corporativo, já desencadeia o vazamento. Não há um link malicioso que o usuário precise evitar.
  • Subversão de Controles de DLP: Como a movimentação inicial dos dados é totalmente interna (o Copilot consultando o Microsoft Graph e enviando uma mensagem para o próprio usuário), as ferramentas convencionais de DLP (Data Loss Prevention) que monitoram o tráfego de saída da rede dificilmente vão alertar sobre esse comportamento. O alarme só soaria na requisição web final e ofuscada, feita através do carregamento da imagem, o que já é tarde demais.

#Implicações Técnicas: Muito Além do LLM

Um dos aprendizados técnicos mais fascinantes dessa divulgação da PromptArmor é que o exploit é, na sua essência, agnóstico de modelo (model agnostic). Embora a pesquisa tenha demonstrado o ataque rodando com o Claude Opus 4.7 (que alimenta o preview do Copilot Cowork), a falha raiz não é uma alucinação da IA e nem um contorno nos guardrails de segurança do modelo. Trata-se de uma falha clássica de lógica de arquitetura que foi amplificada pelas capacidades da IA.

Componente do AtaqueMecanismo TécnicoTipo de Vulnerabilidade
IngestãoProcessamento sem sanitização de conteúdo externo durante a geração aumentada por recuperação (RAG).Indirect Prompt Injection
ExecuçãoEvasão das validações de autorização e aprovação para mensagens enviadas ao próprio usuário.Business Logic Bypass
ExfiltraçãoAbuso da renderização client-side (no lado do cliente) de ativos externos dentro de apps de comunicação interna.Zero-Click SSRF / Data Egress

Isso prova que garantir a segurança de sistemas baseados em agentes exige muito mais do que apenas fazer fine-tuning em um LLM para recusar prompts maliciosos. Requer uma engenharia de software robusta, separação contextual rigorosa das entradas de dados e a aplicação de validação zero-trust nos mecanismos de saída do agente.

#O Que Fazer Agora: Mitigando Riscos de Agentes

Para os desenvolvedores e administradores de TI que utilizam o Microsoft 365 ou que estão construindo seus próprios agentes internos de IA, esse incidente serve como um mapa claro das mitigações necessárias.

  • Restrinja a Descoberta de Conteúdo: As organizações precisam gerenciar ativamente as permissões do SharePoint e do OneDrive. As equipes de segurança devem usar as configurações do tenant para remover sites altamente sensíveis do índice de busca do Copilot, limitando assim o raio de explosão (blast radius) de um agente comprometido.
  • Implemente Políticas de 'Block Download': Ao configurar políticas no SharePoint que impedem o download em bibliotecas sensíveis específicas, sua empresa consegue evitar que a API do Graph gere aqueles links pré-autenticados necessários para que essa técnica de exfiltração funcione.
  • Sanitize Saídas em Markdown e HTML: Desenvolvedores de software que criam clientes para IAs precisam tratar as saídas dos LLMs da mesma forma que tratam qualquer input não confiável de usuário. Os motores de renderização devem sanitizar de forma rigorosa ou bloquear completamente o carregamento de ativos externos (como imagens remotas) dentro das mensagens geradas pelo agente.
  • Exija um Verdadeiro Human-in-the-Loop: Qualquer ação do agente que dispare mudanças de estado ou requisições de rede deve, obrigatoriamente, passar por uma confirmação explícita do usuário. Isso vale independentemente de o destinatário ser alguém interno, externo ou o próprio usuário.

#Conclusão

A vulnerabilidade do Microsoft Copilot Cowork descoberta pela PromptArmor é um verdadeiro divisor de águas para a segurança de Inteligência Artificial. Conforme evoluímos de sistemas que apenas respondem perguntas para sistemas autônomos que tomam ações em todo o nosso ambiente de trabalho digital, a complexidade para proteger esses fluxos aumenta de forma dramática. Abraçar IAs autônomas significa que precisamos repensar nossos limites de confiança desde a base, partindo do princípio de que nossas fontes de dados são hostis e nossos assistentes de IA são, por natureza, ingênuos. Proteger o futuro do trabalho exige uma vigilância extrema, higiene rigorosa de permissões e uma postura inflexível de zero-trust (confiança zero) na integração com sistemas de inteligência artificial.