简介 

    全球网安事件速递：新型CoPhish钓鱼攻击利用Microsoft Copilot Studio创建伪装聊天机器人，诱导用户授权窃取OAuth令牌，绕过微软安全措施。攻击者可借此访问敏感数据，凸显AI工具定制功能的安全风险。专家建议加强权限管理，防范AI驱动的社会工程攻击。

核心详情 

    CoPhish攻击技术原理在于滥用Microsoft Copilot Studio的定制功能，构建恶意聊天机器人模拟合法服务，诱导用户授权OAuth令牌。攻击者通过精心设计的交互流程，绕过微软的多重身份验证机制，直接获取访问权限，从而窃取邮箱、云存储等敏感数据。此事件基于安全研究人员披露，涉及全球多个组织，暴露了AI代理在缺乏严格监管时的滥用风险。攻击链包括钓鱼链接分发、伪造身份验证页面及令牌劫持，整个过程无需传统恶意软件，增加了检测难度。微软已发布安全公告，强调需审查Copilot Studio集成应用，并监控异常OAuth活动。

适用范围  

    适用于使用Microsoft 365、Copilot Studio的企业IT管理员、网络安全团队及开发人员，尤其涉及OAuth集成、AI助手部署的场景。包括金融、医疗等处理敏感数据的行业，以及远程办公环境中依赖云服务的用户。

推荐措施 

    1、具体可操作的建议：定期审计Copilot Studio中创建的聊天机器人，限制OAuth权限范围至最小必要；启用微软安全中心的威胁检测功能，监控异常令牌请求；对员工进行AI钓鱼识别培训，模拟攻击演练。

    2、延伸建议：参考NIST网络安全框架强化身份管理，使用条件访问策略限制第三方应用；部署零信任架构，验证每次资源请求；关注微软安全更新，及时应用补丁。