Исследователи обнаружили способ кражи данных, который обходит встроенные механизмы безопасности Microsoft Copilot.
Поток атаки, называемый Reprompt, злоупотребляет тем, как Microsoft Copilot обрабатывает параметры URL, чтобы перехватить существующую сессию Copilot Personal пользователя.
Copilot — это искусственный интеллект, который подключается к личному аккаунту и интегрирован в Windows, Edge и различные потребительские приложения.
Проблема была устранена в январском обновлении Microsoft Patch Tuesday, и на данный момент нет никаких свидетельств ее использования злоумышленниками. Тем не менее, это еще раз показывает, насколько рискованно доверять ИИ-помощникам на данный момент.
Reprompt скрывает вредоносный запрос в параметре q легитимного URL-адреса Copilot. При загрузке страницы Copilot автоматически выполняет этот запрос, позволяя злоумышленнику выполнять действия в авторизованной сессии жертвы после всего одного клика по фишинговой ссылке.
Другими словами, злоумышленники могут скрыть секретные инструкции в веб-адресе ссылки Copilot, в месте, на которое большинство пользователей никогда не обращают внимания. Затем Copilot выполняет эти скрытые инструкции, как если бы пользователи ввели их сами.
Поскольку Copilot принимает запросы через параметр URL q и выполняет их автоматически, фишинговое письмо может заманить пользователя в клик по внешне легитимной ссылке Copilot, одновременно незаметно вставляя инструкции, контролируемые злоумышленником, в активную сессию Copilot.
От других подобных атак с внедрением подсказок Reprompt отличается тем, что не требует ввода подсказок пользователем, установки плагинов и включения соединителей.
Основа атаки Reprompt удивительно проста. Хотя Copilot применяет меры безопасности для предотвращения прямой утечки данных, эти меры защиты применяются только к первоначальному запросу. Злоумышленники смогли обойти эти меры безопасности, просто дав Copilot команду повторить каждое действие дважды.
Исходя из этого, исследователи отметили:
«После выполнения первого запроса сервер злоумышленника выдает последующие инструкции на основе предыдущих ответов и формирует непрерывную цепочку запросов. Такой подход скрывает истинные намерения как от пользователя, так и от инструментов мониторинга на стороне клиента, что значительно затрудняет обнаружение».
Как оставаться в безопасности
Вы можете защитить себя от атаки Reprompt, установив обновления Patch Tuesday за январь 2026 года.
Если возможно, используйте Microsoft 365 Copilot для рабочих данных, так как он поддерживает аудит Purview, предотвращение потери данных (DLP) на уровне арендатора и административные ограничения, которые не были доступны для Copilot Personal в исследуемом случае. Правила DLP ищут конфиденциальные данные, такие как номера кредитных карт, идентификационные номера, данные о здоровье, и могут блокировать, предупреждать или регистрировать, когда кто-то пытается отправить или сохранить их рискованными способами (электронная почта, OneDrive, Teams, коннекторы Power Platform и т. д.).
Не переходите по незнакомым ссылкам, прежде чем не убедитесь в их безопасности у (надежного) источника.
Сообщается, что Microsoft тестирует новую политику, которая позволяет ИТ-администраторам удалять цифрового помощника Copilot на базе искусственного интеллекта с управляемых устройств.
Malwarebytes могут отключить Copilot на своих личных компьютерах в разделе «Инструменты» > Privacy, где можно переключить парамет р «Отключить Windows в положение «Вкл.» (синий).
В целом, следует помнить, что использование ИИ-помощников по-прежнему сопряжено с рисками для конфиденциальности. До тех пор, пока существуют способы, с помощью которых помощники могут автоматически принимать недостоверные данные — такие как параметры URL, текст страницы, метаданные и комментарии — и объединять их в скрытые системные подсказки или инструкции без строгого разделения или фильтрации, пользователи по-прежнему подвергаются риску утечки личной информации.
Поэтому при использовании любого ИИ-помощника, который может управляться с помощью ссылок, автоматизации браузера или внешнего контента, разумно предположить, что проблемы «типа Reprompt» как минимум возможны и должны быть приняты во внимание.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
