恶意 skill 演示:装上就能外传文件
5 月 26 日 News Hacker 上的一条讨论引爆了 Microsoft Copilot 的安全话题。一名安全研究员发布了一段演示视频:把一个恶意 skill(Copilot 上用来扩展 LLM agent 能力的功能模块)装到企业 Copilot 实例里,skill 启动后调用文件读取 API,把 OneDrive 上的财报草稿和邮件附件压缩、通过 curl 推到外部服务器,整个流程不到 40 秒,全程没触发 Copilot 的内置审计告警。
触发讨论的关键不是”演示能不能成功”——技术上没什么神秘的,恶意 skill 本质上就是不可信代码,给了文件读取权限就能做这事——而是 Microsoft Copilot 的 skill 分发机制目前完全没有强制审计。社区里多名评论者把这个问题类比成早年 IDE extension 和 Outlook plugin 的供应链漏洞:开发者社区里一个被劫持的 skill 仓库,可以让几千家企业一夜中招。
问题不在 prompt injection,在分发链
讨论里反复被强调的一点是:这次外泄不是 prompt injection(通过提示词诱导模型偏离预期),就是普通的代码执行风险——skill 里允许 curl $url | bash 类命令,它就能读文件并外传,跟 LLM 推理没关系。但这恰恰是企业落地时被忽略的一面:很多团队把 Copilot skill 看成”AI 功能”,而不是”被授权运行任意代码的二进制”。安全审查的标尺没跟上。
讨论里有人贴了已经在跑的现实数据:远程加载 skill 的企业越来越多,理论上可以用 skill scanner 或手工解压 ZIP 包检查内容,但实际操作里几乎没有团队这么做——这等于直接把 Excel 宏病毒时代的剧本搬到了 LLM 时代。Microsoft 的 Copilot Studio 文档里关于 skill 安全的部分至今只有”建议来源审查”几行字,没有强制白名单、没有签名验证、没有运行时沙箱。
AI native 之前先把治理补齐
这次事件真正值得记的不是漏洞本身,而是它戳穿了”AI native”叙事的一个空档:很多企业在 security、auditing、数据隔离这些基础治理还没到位的情况下急着上 Copilot。Microsoft Build 2026 上把 Copilot 推成 365 套件的默认增强,但默认开放给员工的 skill 市场没有任何强制审计机制——这跟 Apple App Store 早年的”上架就放行”是一个性质,区别只在 Microsoft 卖给企业的合规预期更高。
News Hacker 上一位评论者的话被多人转引:”企业要的是 AI 能干活,但 IT 给的是无监管插件市场——你猜两年后哪一边先翻车。”Microsoft 截稿前没有正式回应,Copilot 安全文档没有更新。短期内能做的防御很务实:禁用第三方 skill、只信任企业内部审过的版本、对所有 skill 出站流量做白名单——跟 2014 年企业禁用未签名宏的逻辑一样。AI 安全不是新问题,只是新场景里又来了一遍。
