微軟Copilot AI助手曝重大安全漏洞單擊鏈接即可竊取用戶隱私

2026-02-17 網絡安全人工智能 ai 微軟安全漏洞 copilot

微軟已經修復了其Copilot AI助手中的一個嚴重安全漏洞，該漏洞允許黑客通過用戶單擊一個看似合法的URL鏈接就能竊取大量敏感用戶數據。
這次攻擊是由安全公司Varonis的白帽研究人員發現的。他們設計的多階段攻擊能夠成功竊取數據，包括目標用戶的姓名、位置信息以及用戶Copilot聊天歷史中的具體事件詳情。更令人擔憂的是，即使用戶關閉了Copilot聊天窗口，攻擊仍會繼續運行，一旦用戶點擊了郵件中那個看似合法的Copilot鏈接，就無需進一步交互。這種攻擊和由此產生的數據盜竊繞過了企業終端安全控制和終端保護應用的檢測。
攻擊機制分析
Varonis安全研究員Dolev Taler向媒體解釋說：\"一旦我們發送帶有惡意提示的鏈接，用戶只需點擊鏈接，惡意任務就會立即執行。即使用戶只是點擊鏈接然后立即關閉Copilot聊天標簽頁，攻擊仍然有效。 \"
攻擊的基礎URL指向Varonis控制的域名。在末尾附加了一長串詳細指令，以q參數的形式存在， Copilot和大多數其他大語言模型都使用這種方式將URL直接輸入到用戶提示中。當被點擊時，該參數會導致Copilot Personal將個人詳細信息嵌入到網絡請求中。
嵌入為q參數的完整提示內容包含了復雜的偽代碼指令，這些指令成功提取了用戶秘密信息，并將包含敏感數據的網絡請求發送到Varonis控制的服務器。攻擊并未就此結束，偽裝的圖片文件包含進一步的指令，尋求包括目標用戶名和位置在內的詳細信息。
安全防護機制的缺陷
與大多數大語言模型攻擊一樣， Varonis攻擊的根本原因是無法在用戶直接輸入的問題或指令與請求中包含的不可信數據之間劃定清晰的邊界。這導致了間接提示注入攻擊，目前沒有任何大語言模型能夠完全防范這種攻擊。微軟在這種情況下的對策是在Copilot中構建防護欄，旨在防止其泄露敏感數據。
然而， Varonis發現這些防護欄僅應用于初始請求。由于提示注入指令Copilot重復每個請求，第二次請求成功誘導大語言模型泄露私人數據。后續的間接提示也被重復執行，允許多個階段的攻擊，如前所述，即使目標關閉聊天窗口，攻擊也會繼續進行。
Taler表示：\"微軟的防護欄設計不當，他們沒有進行威脅建模來理解有人如何利用這種缺陷來泄露數據。 \"
修復情況
Varonis在周三發布的帖子中披露了這次攻擊，其中包括兩個演示攻擊的短視頻，公司研究人員將這種攻擊命名為\"Reprompt\" 。該安全公司私下向微軟報告了其發現，截至周二，微軟已經引入了阻止該攻擊的更改。該漏洞僅影響Copilot Personal ， Microsoft 365 Copilot不受影響。
Q&A
Q1：什么是Reprompt攻擊？它是如何工作的？
A：Reprompt是Varonis研究人員發現的一種針對微軟Copilot AI助手的多階段攻擊方法。攻擊者通過在合法URL中嵌入惡意提示參數，當用戶點擊鏈接時，就會觸發Copilot執行惡意指令，竊取用戶的姓名、位置和聊天歷史等敏感信息。
Q2：為什么微軟的安全防護沒能阻止這種攻擊？
A：微軟在Copilot中設置的防護欄只對初始請求生效，但攻擊利用了重復請求的機制。第二次請求成功繞過了安全檢測，導致大語言模型泄露私人數據。研究人員認為微軟沒有進行充分的威脅建模來預防這種攻擊方式。
【微軟Copilot AI助手曝重大安全漏洞單擊鏈接即可竊取用戶隱私】Q3：普通用戶如何防范類似的AI助手攻擊？
A：用戶應該謹慎點擊來源不明的鏈接，特別是那些包含復雜參數的URL 。同時要及時更新AI助手軟件，關注官方安全公告。微軟已經修復了這個特定漏洞，但用戶仍需保持警惕，因為類似的間接提示注入攻擊目前還沒有完全的防范方案。

推薦閱讀

上一篇：\AI Pod\進駐美國中小城市創建低延遲邊緣計算基礎設施

下一篇：為開發者厘清選擇方向：2025 AIGC最具影響力AI應用開發平臺公布