Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

ИИ-помощник, который сдаст вас без боя. Microsoft Copilot с радостью поделится вашими секретами с хакерами

leer en español

Microsoft Varonis Copilot Reprompt утечка данных Windows вредоносные ссылки
ИИ-помощник, который сдаст вас без боя. Microsoft Copilot с радостью поделится вашими секретами с хакерами
Microsoft Varonis Copilot Reprompt утечка данных Windows вредоносные ссылки

Всего одна ссылка — и ваша переписка слита. Но обезопасить себя можно прямо сейчас.

image

Специалисты компании Varonis рассказали о новой атаке на Copilot от Microsoft, получившей название Reprompt. Она позволяет злоумышленнику перехватить сессию пользователя и незаметно выгрузить личные данные. Уязвимость уже получила обновление безопасности, однако механизм атаки вызвал обеспокоенность, учитывая повсеместную интеграцию Copilot в Windows и другие продукты.

По данным исследовательской группы, атака строится на сокрытии вредоносного запроса внутри обычной ссылки, которая выглядит безопасной. При переходе по ней Copilot автоматически обрабатывает встроенную команду, что позволяет злоумышленнику получить доступ к действующей сессии искусственного интеллекта — даже после закрытия вкладки. Reprompt не требует установки расширений или дополнительных инструментов, работает после одного клика и позволяет выполнять скрытую выгрузку данных.

Ключевой уязвимостью стала возможность передавать инструкции через параметр «q» в ссылке, который Copilot воспринимает как запрос. Если вредоносная команда оформлена должным образом, ИИ выполняет её без ведома пользователя. Впрочем, для стабильной утечки данных одного перехода недостаточно. Авторы метода комбинировали несколько подходов, чтобы обойти защиту и добиться устойчивой двусторонней связи между Copilot и внешним сервером.

В исследовании описан сценарий, при котором атакующий сначала отправляет жертве ссылку, имитирующую легитимную. После клика ИИ выполняет встроенную команду, а затем продолжает получать дальнейшие инструкции с сервера злоумышленника. Эти запросы не видны системам защиты на стороне пользователя, поскольку они передаются после начального взаимодействия.

Один из приёмов — повторная отправка запроса — помогает обойти фильтры Copilot, которые действуют только на первую попытку. Например, чтобы получить скрытую фразу, злоумышленники заставили Copilot выполнить одно и то же действие дважды, после чего во второй раз тот вернул конфиденциальную информацию.

Команда Varonis показала, как таким образом можно незаметно выгрузить переписку и другие персональные данные, доступные Copilot. Представленная видеодемонстрация начинается с обычного письма, содержащего вредоносную ссылку. После перехода Copilot получает инструкции и передаёт информацию на удалённый сервер. Анализ начального запроса не позволяет заранее определить, какие именно данные утекут, поскольку основная команда поступает позже с сервера.

Об уязвимости было сообщено Microsoft ещё в августе прошлого года, однако исправление вышло лишь 14 января в рамках очередного обновления безопасности. На момент публикации нет сведений о фактах реального использования Reprompt, однако рекомендуется срочно установить актуальные обновления Windows.

В Varonis подчеркнули, что проблема затронула только персональную версию Copilot, встраиваемую в браузер Edge и другие пользовательские продукты. Версия для корпоративных клиентов Microsoft 365 Copilot оказалась защищена благодаря дополнительным механизмам контроля, включая аудит через Purview, запреты на уровне арендатора и политики предотвращения утечек данных.