O vulnerabilitate Microsoft Copilot le-a permis atacatorilor să fure pe ascuns date personale cu un singur clic

Cercetătorii au dezvăluit un nou atac care a necesitat doar un singur clic pentru a fi executat, ocolind controalele de securitate Microsoft Copilot și permițând furtul datelor utilizatorilor.

Firma de cercetare în domeniul securității datelor Varonis Threat Labs a publicat un raport care detaliază o vulnerabilitate pe care o numește „Reprompt” și care le-a permis atacatorilor să fure în secret date personale prin Microsoft Copilot potrivit Windows Central.

Pentru declanșarea acestui atac nu a fost necesară nicio interacțiune a utilizatorului cu Copilot sau alte plugin-uri. În schimb, victimele au trebuit să facă clic pe un link.

Reprompt „oferă infractorilor cibernetici un punct de intrare invizibil pentru a efectua o sustragere a datelor care ocolește complet controalele de securitate și accesează date sensibile fără a fi detectat, totul dintr-un singur clic”, transmite Varonis Threat Labs.

Folosind acest exploit, un atacator ar trebui pur și simplu să determine un utilizator să deschidă un link de phishing, care ar iniția apoi o solicitare în mai multe etape injectată folosind un „parametru q”. Odată ce utilizatorul dă clic, atacatorul ar putea solicita Copilot informații despre utilizator și le-ar putea trimite către propriile servere. De exemplu, atacatorul ar putea colecta informații precum „ce fișiere a vizualizat utilizatorul astăzi?” sau „unde se află utilizatorul?”.

În plus, Varonis Threat Labs afirmă că acest exploit este diferit de alte vulnerabilități  ale inteligenței artificiale, precum EchoLeak, deoarece acesta necesită doar un singur clic din partea utilizatorului, fără a fi necesare alte introduceri. Acesta ar putea fi exploatat chiar și atunci când Copilot este închis.

Ce este un Q parameter

Parametrii Q permit „platformelor AI să transmită interogarea sau solicitarea unui utilizator prin intermediul URL-ului”, explică Varonis Threat Labs. „Prin includerea unei întrebări sau instrucțiuni specifice în parametrul q, dezvoltatorii și utilizatorii pot completa automat câmpul de introducere atunci când pagina se încarcă, determinând sistemul AI să execute imediat solicitarea.”

Deci, în acest caz, un atacator putea emite un parametru q care cerea Copilot să trimită date către serverul atacatorului. Copilot a fost proiectat să refuze preluarea unor URL-uri de acest tip, dar Varonis Threat Labs a reușit să proiecteze promptul în așa fel încât să ocolească măsurile de protecție ale Copilot și să convingă AI să preia URL-ul către care să trimită datele.

Potrivit Varonis Threat Labs, exploitul a fost raportat către Microsoft în august 2025 și a fost remediat începând cu 13 ianuarie 2026. Asta înseamnă că exploitul nu mai poate fi folosit și nu mai există riscul ca acesta să afecteze utilizatorii.

La fel ca majoritatea atacurilor asupra modelelor lingvistice de mari dimensiuni, cauza principală a vulnerabilității descoperite de Varonis este incapacitatea de a delimita o graniță clară între întrebările sau instrucțiunile introduse direct de utilizator și cele incluse în datele incluse într-o solicitare. Acest lucru dă naștere la injecții indirecte de prompturi, pe care niciun LLM nu a reușit să le prevină. Recursul Microsoft în acest caz a fost să construiască în Copilot bariere de protecție concepute pentru a împiedica scurgerea de date sensibile.

Varonis a descoperit că aceste măsuri de protecție au fost aplicate doar la o cerere inițială. Deoarece injecțiile de prompturi au instruit Copilot să repete fiecare cerere, a doua cerere a determinat cu succes LLM-ul să exfiltreze datele private. Prompturile indirecte ulterioare (de asemenea, în fișierul text deghizat) care solicitau informații suplimentare stocate în istoricul chat-ului au fost, de asemenea, repetate, permițând mai multe etape care, așa cum s-a menționat anterior, au continuat chiar și atunci când ținta a închis fereastra de chat.

Asistenții AI nu sunt invulnerabili și este puțin probabil ca aceasta să fie ultima vulnerabilitate de securitate a Copilot descoperită de cercetătorii în domeniul securității. Fiți întotdeauna atenți la tipul de informații pe care le împărtășiți asistenților AI și, mai important, fiți întotdeauna vigilenți când vine vorba de a da clic pe linkuri, în special pe cele care vă redirecționează către asistentul AI ales.