共计 1377 个字符,预计需要花费 4 分钟才能阅读完成。
一项名为“Reprompt”的新型攻击技术,让网络安全研究人员深感担忧。它能让黑客仅通过一条链接,就突破微软 Copilot 的安全防线,持续窃取用户数据,甚至在聊天关闭后攻击依然有效。
Ernesto r. Ageitos/Moment/Getty Images
认识 Reprompt:一次点击引发的数据危机
近日,Varonis 威胁实验室发布报告,详细披露了这种影响微软 Copilot AI 助手的新型攻击方法。Reprompt 主要针对微软 Copilot 个人版,它被描述为一个隐蔽的入口,能让攻击者执行完整的数据窃取链,完全绕过企业安全控制,并在不被察觉的情况下访问敏感数据——而这一切的起点,仅仅是用户的一次点击。
更令人不安的是,这种攻击的触发无需用户与 Copilot 或其插件进行任何交互。受害者只需点击一个恶意链接,攻击便会悄然启动。
Reprompt 如何运作?三步攻击链揭秘
Reprompt 攻击巧妙地串联了三种技术,形成了一条高效的攻击链:
- 参数转提示注入(P2P 注入):攻击者利用 URL 中的‘q’参数,直接从链接中填充提示词,并注入精心设计的恶意指令,迫使 Copilot 执行包括数据窃取在内的操作。
- 双重请求 :尽管 Copilot 设有防止直接数据外泄的防护措施,但研究团队发现,通过重复两次请求某个操作,可以迫使该操作被执行,从而绕过防护。
- 链式请求 :一旦初始的恶意提示词(经过重复)被执行,Reprompt 攻击链服务器便会发出后续指令和请求,例如要求提供更多信息,实现持续窃取。
据 Varonis 介绍,这种方法极难被检测,因为它绕过了内置的安全机制,并对正在外泄的数据进行了伪装。Copilot 会逐段泄露数据,攻击者则能利用每个答案来生成下一个恶意指令,形成恶性循环。一份概念验证演示视频清晰地展示了这一过程。
微软的回应与修复措施
Reprompt 漏洞已于 2025 年 8 月 31 日被负责任地披露给微软。在公开披露前,微软已经修复了该漏洞,并确认 Microsoft 365 Copilot 的企业用户未受影响。
一位微软发言人表示:“我们感谢 Varonis 威胁实验室负责任地报告了此问题。我们已经推出了针对所述场景的防护措施,并正在实施额外手段,作为纵深防御策略的一部分,以加强对类似技术的防护。”这表明微软正积极应对 Copilot 安全挑战,构建更稳固的防御体系。
如何保持安全?给用户和企业的建议
AI 助手和 AI 浏览器是相对较新的技术,安全问题频发。Reprompt 这类攻击再次提醒我们,对新技术的信任可能被利用。为了防范类似 Copilot 安全风险,可以采取以下措施:
- 对链接保持警惕 :网络钓鱼是最常见的攻击方式。务必谨慎点击来源不明的链接,尤其是通过邮件或陌生消息收到的链接。
- 谨慎分享信息 :与使用任何数字服务一样,应避免在 Copilot 这类 AI 助手中分享敏感或个人身份信息。
- 留意异常行为 :注意 AI 助手是否有异常行为,例如出现可疑的数据请求或奇怪的自动回复。
- 供应商需加强防护 :AI 供应商应将 URL 和外部输入视为不可信来源,并在整个流程链中实施验证和安全控制。防护措施不应仅仅停留在初始提示词阶段,需能降低提示词链和重复操作的风险。
Reprompt 攻击代表了由外部输入驱动的一类更广泛的、关键的 AI 助手漏洞。随着 AI 工具的普及,用户和企业都必须提高安全意识,而供应商则需不断加固产品的安全防线。
