Nedavno otkriće u oblasti sigurnosti stavilo je u fokus Microsoft Copilot i, općenito, asistentima umjetne inteligencije koji su već prodrli u svakodnevni život preduzeća i pojedinaca. Istraživači u Varonis Threat Labsu otkrili su metodu napada, nazvanu kao Ponovni podsticaj, sposoban da ukrade podatke iz razgovora sa Copilotom jednostavnim klikom na link koji je, na prvi pogled, potpuno legitiman.
Ovaj vektor napada iskoristio je ranjivost u načinu na koji je Copilot interpretirao određene URL parametreBez potrebe za preuzimanjem sumnjivih programa ili otvaranjem priloga, sajberkriminalci su mogli doći do kompletnih razgovora, akreditivnih podataka i osjetljivih dokumenata povezanih sa korisnikovom sesijom, čak i ako je chat već bio zatvoren u pregledniku.
Šta je Reprompt i zašto utiče na Copilota?
Reprompt je naziv koji je Varonis Threat Labs dao specifičan napad osmišljen protiv Microsoft CopilotaAI asistent kojeg je kompanija integrirala u Bing, Edge, Windows i druge cloud servise bio je ranjiv. Daleko od toga da je to teorijski nedostatak, tehnika je omogućila napadaču da preuzme kontrolu nad korisnikovom Copilot sesijom i tiho izvuče informacije.
Ključni element Reprompta je iskorištavanje skrivene upute ugrađene u naizgled bezopasne linkoveOvi linkovi su upućivali na službene Microsoftove domene, kao što je copilot.microsoft.com, tako da korisnik nije imao razloga da bilo šta posumnja. Čim se stranica učita, Copilot je u pozadini počeo izvršavati zlonamjerne naredbe koje je napadač odredio.
U ovom scenariju, AI asistent je postao neka vrsta nesvjesnog posrednika: Sam Copilot je prikupljao i slao podatke na eksterne servere.Slijedeći upute koje je napadač sakrio u URL-u, iz perspektive korisnika, sve je izgledalo kao normalno korištenje usluge.
Prema analizi istraživača, ovaj pristup predstavlja kvalitativni skok u odnosu na tradicionalne napade, jer Koristi unutrašnje ponašanje AI modela i povjerenje koje se ukazuje platformi, a ne klasične greške poput instalacije zlonamjernog softvera na uređaju.
Kako napad funkcioniše: uloga q parametra
Tehnička osnova Reprompta leži u upravljanju parametar q u URL-u Microsoft CopilotaOvaj parametar se koristi za predefiniranje upita koji će korisnik vidjeti prilikom otvaranja stranice. Na primjer, ako pristupa http://copilot.microsoft.com/?q=HolaAsistent automatski prima poruku "Zdravo" čim se učita.
Problem nastaje kada se, umjesto bezopasnog pozdrava, uvede nešto drugo. složena i zlonamjerna instrukcija unutar istog parametra qCopilot interpretira sadržaj parametra kao da je poruka koju je poslala osoba koja posjećuje stranicu i obrađuje je bez potrebe da osoba išta kuca ili izvodi dodatne radnje.
Na ovaj način, napadač može konstruirati legitimni Microsoft URL koji uključuje naredbe kao što su: prikupljanje svih nedavnih razgovora, izdvajanje vjerodajnica ili sumiranje dokumenata dostupnih s ovog računa. pošaljite ih na udaljenu adresuKorisnik vidi samo da se Copilot otvorio, ali u stvarnosti asistent već izvršava te naredbe u pozadini.
Ova tehnika se zasniva na onome što je poznato kao brza injekcijaUbrizgavanje skrivenih ili zlonamjerno dizajniranih instrukcija tako da ih AI tretira kao legitimne zahtjeve. Za razliku od drugih slučajeva o kojima se raspravlja na platformama poput ChatGPT-a ili Perplexityja, u Repromptu cilj nije samo manipulirati vidljivim odgovorom, već postići direktno i automatsko izvlačenje podataka na server kojim upravlja sajberkriminalac.
Upotreba parametra q u URL-u, koja na prvi pogled izgleda kao praktičan način za prethodno konfigurisanje upita, tako postaje diskretna ulazna tačka za izvršavanje proizvoljnih komandi bez da ih sistem razlikuje od stvarnih zahtjeva korisnika.
Jedan klik za gubitak kontrole nad sesijom
Jedan od najuznemirujućih aspekata Reprompta je njegova jednostavnost. Sve što je bilo potrebno bilo je da žrtva klikne na legitimni link. da bi napad započeo. Nije bilo preuzimanja, instalacija ekstenzija za preglednik, niti sumnjivih skočnih prozora koji bi mogli izazvati uzbunu.
Kada je zlonamjerni link postao aktivan, Copilot je pokrenuo tajni dijalog sa serverom napadačaU toj razmjeni, sistem umjetne inteligencije odgovarao je na zahtjeve sajber kriminalaca: preuzimanjem prethodnih razgovora, izdvajanjem osjetljivog teksta, prikupljanjem podataka povezanih s računom ili čak korištenjem vlastitog konteksta kompanije za lociranje posebno kritičnih informacija.
Istraživači iz Varonis Threat Labsa ističu da je napad imao još jednu zabrinjavajuću karakteristiku: Može ostati aktivno čak i nakon što korisnik zatvori prozor za chat.Sve dok je sesija asistenta ostala aktivna na strani servera, Copilot je nastavio odgovarati na zahtjeve koje su orkestrirali napadači.
Sa operativne tačke gledišta, to znači da je korisnik mogao vjerovati da je sve gotovo kada je napustio stranicu, dok je u stvarnosti Sesija je i dalje bila tiho iskorištavanaOva upornost otežava otkrivanje tradicionalnim sigurnosnim alatima, koji se obično fokusiraju na vidljive elemente ili anomalne aktivnosti na klijentskom uređaju.
A ako to nije bilo dovoljno, Prikrivene sekvence instrukcija često su izgledale kao rutinska podrška ili zadaci pomoći.Zbog toga je površnom analizom teže identificirati zloupotrebu. Vještačka inteligencija je djelovala kako se i očekivalo od marljivog asistenta, ali u službi interesa napadača.
Podaci koji bi mogli biti izloženi
Obim Reprompta je išao daleko dalje od prikazivanja isječaka teksta u chatu. Prema Varonisu, napad bi mogao olakšati krađu kompletni razgovori održani sa CopilotomOvo je posebno osjetljivo kada se radi s osjetljivim poslovnim informacijama ili ličnim podacima.
Među primjerima koji se razmatraju, stručnjaci navode moguće curenje korisnička imena, lozinke, adrese e-pošte i interni dokumentiU evropskim korporativnim okruženjima gdje je Copilot integriran s uredskim paketima i uslugama u oblaku, ova kombinacija je posebno kritična sa stanovišta usklađenosti s propisima, uključujući zaštitu podataka.
Zato što se odvija u okviru vlastite logike Copilota, izvlačenje Ne odražava se kao dodatni program koji šalje datotekeveć kao niz normalnih AI odgovora udaljenom serveru. Zbog toga je izuzetno teško antivirusnom softveru, tradicionalnim zaštitnim zidovima ili drugim sigurnosnim rješenjima na uređajima da otkriju anomaliju u stvarnom vremenu.
Istraživači ističu da, u praksi, Nije postojalo strogo ograničenje količine ili vrste podataka koji su mogli biti kompromitovani.Sve je zavisilo od toga čemu je asistent mogao pristupiti iz korisničke sesije: e-porukama, sadržaju dokumenata u oblaku, sažecima sastanaka ili bilo kojem drugom resursu za koji je Copilot bio ovlašten da ga konsultuje.
Ovaj pristup ima posebne implikacije za organizacije u Evropskoj uniji, gdje se upotreba AI asistenata povezanih s korporativnim podacima brzo širi: Takav propust bi mogao dovesti do incidenata curenja ličnih podataka zaštićenih GDPR-om., sa posljedičnom potrebom obavještavanja kontrolnih organa i mogućih sankcija.
Izazov za sajber sigurnost u doba vještačke inteligencije
Ponovni podsticaj je dio šireg trenda: pojava vektora napada posebno dizajniranih protiv sistema vještačke inteligencije i velikih jezičkih modelaZa razliku od tradicionalnih aplikacija, ovi sistemi rade s kontekstualnim razgovorima i stanjima koja se održavaju na serveru, što otvara vrata novim oblicima zloupotrebe.
Prvo, površina napada se širi. Funkcije koje izgledaju bezopasno, kao što su parametrizirati URL za prethodno učitavanje upitaMogu postati opasne ulazne tačke ako instrukcije koje stižu do modela nisu pravilno validirane i filtrirane.
Drugo, the perzistencija AI sesija na strani servera To znači da uticaj zlonamjernog klika može trajati tokom vremena. Čak i nakon što korisnik zatvori pretraživač ili promijeni zadatak, komunikacija između čarobnjaka i napadačevog servera može se nastaviti bez dodatnih kontrola.
Konačno, mnoga trenutna sigurnosna rješenja su dizajnirana da pratiti vidljive aktivnosti na korisnikovom uređajuMeđutim, interne interakcije između AI servisa hostovanog u oblaku i drugih udaljenih sistema su manje zabrinjavajuće. U slučaju Reprompta, značajan dio napada je izvršen u potpunosti unutar serverskog okruženja, izvan uobičajenog dometa odbrane krajnjih tačaka.
Ovaj kontekst navodi evropske kompanije i javne uprave da preispitaju kako integrirati AI asistente u svoje svakodnevno poslovanje: Nije dovoljno samo aktivirati alat; potrebno je procijeniti specifične rizike povezane s njegovom arhitekturom. i obradu osjetljivih podataka u svakom scenariju upotrebe.
Microsoftov odgovor i posljedice za korisnike i preduzeća
Nakon što je primio tehnički izvještaj od Varonis Threat Labsa, Microsoft je priznao ranjivost u Copilotu i objavio sigurnosnu zakrpuPrema istraživačima, obavještenje je poslano tokom ljeta 2025. godine, a ispravka je implementirana početkom 2026. godine, čime je zatvorena specifična putanja koju je Reprompt iskorištavao.
Kompanija je prilagodila način na koji servis obrađuje parametar q i druge slične vektore, tako da Instrukcije ugrađene u linkove ne mogu se automatski izvršiti bez dodatnih kontrolaCilj je spriječiti da jednostavan klik na legitimnu hipervezu ponovo otvori vrata ka krađi podataka.
Uprkos ispravci, sigurnosni stručnjaci ističu da Osnovni problem nije ograničen na Copilota ili jednog provajderaSvaki AI asistent koji prihvata unos putem web parametara ili linkova za dijeljenje mogao bi biti podložan napadima inspirisanim istom idejom ako se mjere validacije i filtriranja ne pregledaju temeljno.
Za evropske kompanije i organizacije koje su već implementirale alate umjetne inteligencije u svoje radne procese, ovaj slučaj služi kao upozorenje: preporučljivo je Pregledajte pravila za korištenje linkova, dozvole računa i opseg podataka dostupnih učesnicima.Također postoji sve veća potreba za uključivanjem specifičnih revizija sigurnosti umjetne inteligencije, pored tradicionalnih kontrola kibernetičke sigurnosti.
Iz perspektive krajnjeg korisnika, Reprompt nas podsjeća na važnost održavanja određenog opreza čak i kada link vodi do poznate domene. Samo zato što je adresa web stranice legitimna ne garantuje da će ono što se sljedeće dogodi biti bezopasno.posebno ako su uključeni sistemi koji automatski obrađuju instrukcije, kao što su konverzacijski asistenti.
Danas je greška ispravljena i Copilot je ugradio dodatne zaštite, ali slučaj jasno pokazuje jednu stvar: AI asistenti postali su centralni dio digitalne infrastrukture I, kao takvi, oni su također prioritetna meta za cyber kriminalce, što zahtijeva podizanje standarda za siguran dizajn i kontinuirano praćenje.