关键词
漏洞
研究人员发现针对微软Copilot Personal的新型一键式攻击,攻击者可通过该漏洞静默窃取用户敏感数据。该漏洞现已被修复,此前威胁分子可通过钓鱼链接劫持会话而无需进一步交互。
攻击原理:参数注入实现会话劫持
攻击者通过发送包含恶意"q"参数的Copilot合法URL钓鱼邮件发起Reprompt攻击,该参数会在页面加载时自动执行预设指令。这种"参数转指令"(P2P)注入技术利用受害者已认证的会话(即使关闭标签页仍持续有效),可查询用户名、地理位置、文件访问记录和休假计划等个人信息。
攻击链随后采用服务器驱动的后续操作,随着指令动态展开规避客户端检测。
攻击链示意图(来源:Varonis)
三大核心技术突破防护机制
Varonis详细披露了突破Copilot防护机制的三大核心技术,这些防护原本用于阻止URL获取和数据泄露:
技术手段
工作原理
绕过方式
参数转指令(P2P)
通过"q"参数注入指令自动填充并执行,窃取会话记忆或数据
要求"双重检查...每个函数调用两次",在第二次尝试时暴露类似"HELLOWORLD1234!"的密钥
双重请求
Copilot的防泄露机制仅作用于初始请求
服务器根据响应生成连续指令,通过分阶段URL实现从用户名获取到时间、位置、用户信息摘要及会话主题的无限泄露链
链式请求
服务器根据响应生成连续指令
通过分阶段URL实现从用户名获取到时间、位置、用户信息摘要及会话主题的无限泄露链
这些技术使数据窃取难以察觉,看似无害的指令背后信息正逐步泄露至攻击者服务器。
泄露的敏感数据类型(来源:Varonis)
影响范围与修复情况
Reprompt攻击针对集成在Windows和Edge中的Copilot Personal消费者版本,可获取指令记录、历史记录及微软数据(如近期文件或地理位置)。使用Microsoft 365 Copilot的企业用户不受影响,因其具备Purview审计、租户DLP和管理控制等防护措施。
虽然尚未发现实际攻击案例,但通过电子邮件或聊天的一键式攻击低门槛特性,仍对财务计划、医疗笔记等数据构成风险。Varonis于2025年8月31日向微软负贵披露该问题,微软在2026年1月13日的"补丁星期二"发布了修复程序。用户应立即安装最新Windows更新以彻底阻断攻击。
行业警示与防护建议
与此前EchoLeak(CVE-2025-32711)等漏洞不同,Reprompt攻击无需文档或插件即可实施,凸显了AI平台中URL参数的风险。各组织应将AI的URL输入视为不可信来源,并对链式指令实施持续防护。Copilot Personal用户应警惕预填充指令,避免点击不可信链接,并监控异常数据请求行为。
安全专家呼吁微软等厂商深度审计外部输入,在AI应用场景中预设内部级访问控制,以预防类似攻击链。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴