ИИ-помощник, который сдаст вас без боя. Microsoft Copilot с радостью поделится вашими секретами с хакерами
NewsMakerВсего одна ссылка — и ваша переписка слита. Но обезопасить себя можно прямо сейчас.
Специалисты компании Varonis рассказали о новой атаке на Copilot от Microsoft, получившей название Reprompt. Она позволяет злоумышленнику перехватить сессию пользователя и незаметно выгрузить личные данные. Уязвимость уже получила обновление безопасности, однако механизм атаки вызвал обеспокоенность, учитывая повсеместную интеграцию Copilot в Windows и другие продукты.
По данным исследовательской группы, атака строится на сокрытии вредоносного запроса внутри обычной ссылки, которая выглядит безопасной. При переходе по ней Copilot автоматически обрабатывает встроенную команду , что позволяет злоумышленнику получить доступ к действующей сессии искусственного интеллекта — даже после закрытия вкладки. Reprompt не требует установки расширений или дополнительных инструментов, работает после одного клика и позволяет выполнять скрытую выгрузку данных.
Ключевой уязвимостью стала возможность передавать инструкции через параметр «q» в ссылке, который Copilot воспринимает как запрос. Если вредоносная команда оформлена должным образом, ИИ выполняет её без ведома пользователя. Впрочем, для стабильной утечки данных одного перехода недостаточно. Авторы метода комбинировали несколько подходов, чтобы обойти защиту и добиться устойчивой двусторонней связи между Copilot и внешним сервером.
В исследовании описан сценарий, при котором атакующий сначала отправляет жертве ссылку, имитирующую легитимную. После клика ИИ выполняет встроенную команду, а затем продолжает получать дальнейшие инструкции с сервера злоумышленника. Эти запросы не видны системам защиты на стороне пользователя, поскольку они передаются после начального взаимодействия.
Специалисты компании Varonis рассказали о новой атаке на Copilot от Microsoft, получившей название Reprompt. Она позволяет злоумышленнику перехватить сессию пользователя и незаметно выгрузить личные данные. Уязвимость уже получила обновление безопасности, однако механизм атаки вызвал обеспокоенность, учитывая повсеместную интеграцию Copilot в Windows и другие продукты.
По данным исследовательской группы, атака строится на сокрытии вредоносного запроса внутри обычной ссылки, которая выглядит безопасной. При переходе по ней Copilot автоматически обрабатывает встроенную команду , что позволяет злоумышленнику получить доступ к действующей сессии искусственного интеллекта — даже после закрытия вкладки. Reprompt не требует установки расширений или дополнительных инструментов, работает после одного клика и позволяет выполнять скрытую выгрузку данных.
Ключевой уязвимостью стала возможность передавать инструкции через параметр «q» в ссылке, который Copilot воспринимает как запрос. Если вредоносная команда оформлена должным образом, ИИ выполняет её без ведома пользователя. Впрочем, для стабильной утечки данных одного перехода недостаточно. Авторы метода комбинировали несколько подходов, чтобы обойти защиту и добиться устойчивой двусторонней связи между Copilot и внешним сервером.
В исследовании описан сценарий, при котором атакующий сначала отправляет жертве ссылку, имитирующую легитимную. После клика ИИ выполняет встроенную команду, а затем продолжает получать дальнейшие инструкции с сервера злоумышленника. Эти запросы не видны системам защиты на стороне пользователя, поскольку они передаются после начального взаимодействия.