Атака Reprompt крадёт данные из Microsoft Copilot по одной ссылке
3 мин
21
1
Лаборатория угроз Varonis нашла способ обойти защиту Microsoft Copilot и собрать данные пользователя. Для последнего подобные действия остаются совершенно незаметны. Новую атаку назвали Reprompt — она даёт злоумышленникам невидимую точку входа для кражи информации в обход корпоративных систем безопасности. Microsoft подтвердила баг и уже выпустила патч. В компании отметили, что корпоративные клиенты на Microsoft 365 Copilot не пострадали.
Уязвимость обнаружили в Microsoft Copilot Personal. Она опасна тем, что атакующий создаёт специальную ссылку на Microsoft Copilot, маскируя в ней вредоносные инструкции. Жертва кликает по ссылке, которая выглядит легитимно. Copilot открывается и автоматически выполняет скрытые команды из URL. Пользователь может даже закрыть вкладку — ничего не изменится, ведь атака уже запущена. Copilot продолжает в фоновом режиме передавать данные на сервер злоумышленника: файлы, переписку, личную информацию, историю диалогов. Никаких плагинов для этого устанавливать не нужно.
Злоумышленник может запросить что угодно: файлы, которые юзер открывал в определённый день, где живёт пользователь или когда едет в отпуск. В отличие от других ИИ-уязвимостей, Reprompt не требует установленных плагинов или активных коннекторов.
Reprompt использует три техники. Первая — P2P-инъекция через URL-параметр q. Этот параметр заполняет промпт напрямую из адресной строки. Атакующий внедряет инструкции, которые заставляют Copilot копировать данные и память диалогов. Вторая — двойной запрос. Copilot блокирует прямые утечки, но только на первый запрос. Если проинструктировать его повторить действие дважды, защита не сработает. Третья — цепочка запросов. После первого промпта сервер атакующего выдаёт следующие инструкции на основе предыдущих ответов. Copilot передаёт данные порциями, каждый ответ генерирует новую вредоносную команду.
Эти техники эксплуатируют стандартный функционал, а не внешние интеграции. Нужен только клик по ссылке из любого канала — порог входа для атаки минимальный. Параметр q широко используется на ИИ-платформах для передачи запроса через URL. Его упоминали в исследованиях Tenable для ChatGPT и Layerx Security для Perplexity. URL определённого формата заставляет ИИ обработать промпт так, будто пользователь ввёл его вручную.
При двойном запросе защита от утечек работает только на первый веб-запрос. Второй проходит без проверки. Исследователи добавили в промпт инструкцию выполнять каждую функцию дважды. При первой попытке данные оказались заблокированы, а вторая прошла чисто. Цепочка запросов снимает ограничения. Нет лимита на объём и тип данных. Сервер может запрашивать информацию на основе предыдущих ответов.
Специалисты советуют вендорам обрабатывать URL и внешний ввод как недоверенные. Защитные механизмы должны работать не только на первый промпт, но и на повторные действия. Пользователям же стоит переходить только по ссылкам из доверенных источников и проверять предзаполненные промпты перед выполнением.
