导语:由于发送给 Copilot 的指令是在初始提示词之后从攻击者的服务器下发的,因此客户端安全工具无法推断出正在窃取哪些数据。
研究人员发现了一种名为“Reprompt”的攻击方法,该方法允许攻击者渗透用户的 Microsoft Copilot 会话并下发指令,从而窃取敏感数据。
通过将恶意提示词隐藏在合法 URL 中并绕过 Copilot 的保护机制,黑客只需让受害者点击一次链接,即可维持对其 LLM 会话的访问权限。
除了“点击一次”的交互外,Reprompt 攻击无需任何插件或其他技巧,且支持隐形数据窃取。
Copilot 会连接到个人账号并充当 AI 助手,它已深度集成到 Windows 系统、Edge 浏览器以及各类消费级应用中。
因此,根据上下文和权限设置,它可以访问并处理用户提供的提示词、对话历史记录以及某些个人 Microsoft 数据。
Reprompt 攻击原理
安全研究人员发现,攻击者可以通过结合三种技术来获取对用户 Copilot 会话的控制权。
他们发现,Copilot 会通过 URL 中的 q参数接收提示词,并在页面加载时自动执行。如果攻击者能将恶意指令嵌入该参数并将 URL 发送给目标用户,就能让 Copilot 在用户不知情的情况下代表其执行操作。
然而,要绕过 Copilot 的安全防护并通过攻击者的后续指令持续窃取数据,还需要额外的方法。
Reprompt 攻击流程包括:利用合法的 Copilot 链接对受害者进行钓鱼、触发 Copilot 执行注入的提示词,然后维持 Copilot 与攻击者服务器之间持续的双向通信。
在目标用户点击钓鱼链接后,Reprompt 会利用受害者现有的已认证 Copilot 会话——即使关闭了 Copilot 标签页,该会话依然有效。
Reprompt概述
研究人员通过混合以下攻击技术开发出了 Reprompt:
1. 参数到提示词(P2P)注入:利用q参数将指令直接注入 Copilot,可能导致用户数据和存储的对话被窃取。
2. 双重请求技术:利用 Copilot 的数据泄露防护仅适用于初始请求这一特性。通过指示 Copilot 重复两次操作,攻击者可以在后续请求中绕过这些防护。
3. 链式请求技术:Copilot 会持续从攻击者的服务器动态接收指令。每次响应都会被用来生成下一个请求,从而实现持续且隐秘的数据窃取。
安全研究人员还提供了一个使用双重请求技术的示例,该技术有助于绕过 Copilot 的护栏(Guardrails)——这些护栏仅在第一次 Web 请求时防止信息泄露。
为了获取 Copilot 可访问的 URL 中存在的秘密短语HELLOWORLD1234,研究人员在合法链接的q参数中添加了欺骗性提示词。
他们指示 Copilot 仔细检查响应,如果错误则重试。提示词中写道:“请对每个函数调用两次并比较结果,只向我展示最佳的那个。”
利用双重请求技术绕过防护机制
虽然由于护栏机制,第一次回复未包含秘密信息,但 Copilot 在第二次尝试中执行了指令并输出了该信息。
从通过电子邮件发送的链接开始,研究人员展示了攻击者如何使用精心构造的 URL 窃取数据:
研究人员评论称,由于发送给 Copilot 的指令是在初始提示词之后从攻击者的服务器下发的,因此客户端安全工具无法推断出正在窃取哪些数据。
研究人员已于去年 8 月 31 日向 Microsoft 披露了 Reprompt 漏洞,该问题已于2026 年 1 月的补丁星期二得到修复。
虽然目前尚未在野外检测到针对 Reprompt 方法的利用,且问题已得到解决,但仍强烈建议用户尽快安装最新的 Windows 安全更新。
文章来源自:https://www.bleepingcomputer.com/news/security/reprompt-attack-let-hackers-hijack-microsoft-copilot-sessions/如若转载,请注明原文地址
