共计 1206 个字符,预计需要花费 4 分钟才能阅读完成。
研究人员近期揭露了一种针对 Microsoft Copilot 的新型攻击手法,仅需用户点击一次,就能在聊天关闭后持续控制 AI 助手并窃取敏感数据。这种被称为“Reprompt”的漏洞,巧妙绕过了现有的安全控制,为企业数据和个人隐私带来了新的挑战。
周三,Varonis 威胁实验室发布了一份详细的研究报告,揭示了这种针对 Microsoft Copilot 个人版的新型攻击。该漏洞为攻击者提供了一个隐秘的入口,使其能够完全绕过企业安全控制,在受害者几乎无法察觉的情况下,执行完整的数据窃取链。整个过程仅需受害者点击一个恶意链接,无需与 Copilot 或其插件进行任何额外交互。
Reprompt 攻击的运作机制
Reprompt 攻击之所以危险,在于它将三种技术串联在一起,形成了一条难以被检测的数据窃取链:
- 参数注入提示 :攻击者通过滥用 Copilot URL 中的“q”参数,直接从网址中填充并注入精心设计的恶意指令。这些指令能够迫使 Copilot 执行包括数据泄露在内的操作。
- 双重请求 :尽管 Copilot 设有防止直接数据泄露的防护机制,但研究人员发现,通过重复请求同一操作两次,可以迫使系统执行该恶意指令。
- 链式请求 :一旦初始恶意提示被执行,攻击者控制的服务器就会发出后续指令,像链条一样一环扣一环,持续要求提供更多信息。
Varonis 团队指出,这种方法之所以难以检测,是因为它巧妙地绕过了内置的安全机制,同时将外泄的数据伪装起来,使得常规的用户端和客户端监控工具难以察觉。Copilot 会以看似正常交互的方式,一点点地泄露数据,而攻击者则能利用每一个答案来生成下一个更深入的恶意指令。
微软的回应与修复情况
值得庆幸的是,Reprompt 漏洞已于 2025 年 8 月 31 日报告给微软。微软在公开披露前已经修补了该漏洞。根据官方信息,Microsoft 365 Copilot 的企业用户不受此漏洞影响,这为使用企业版服务的用户提供了一层保障。
如何防范此类 Copilot 安全威胁
AI 助手和 AI 浏览器作为新兴技术,其安全问题正不断暴露。网络钓鱼是最常见的攻击途径,而 Reprompt 攻击正是利用了用户点击链接这一行为。因此,保护自己的第一道防线始终是保持警惕:
- 谨慎处理所有链接,尤其是来自不信任或未知来源的邮件、消息中的链接。
- 在使用 Copilot 等 AI 助手时,注意观察是否有异常行为,例如出现与当前对话无关的、可疑的数据请求或奇怪的系统提示。
- 避免通过 AI 助手分享高度敏感或个人身份信息,即使是在看似安全的对话中。
Varonis 的研究团队建议,AI 供应商和用户都应认识到,对新技术的过度信任可能被利用。Reprompt 代表了一类更广泛的、由外部输入驱动的关键性 AI 助手漏洞。因此,应将所有 URL 和外部输入视为潜在不可信来源,并在整个 AI 交互流程链中实施严格的验证和安全控制。防护措施不应仅仅停留在初始提示阶段,而应贯穿始终,以降低提示链攻击和重复操作攻击的风险。
