Один клик — и Copilot сливает данные: как работает атака Reprompt

Один клик — и Copilot сливает данные: как работает атака Reprompt

Один клик — и Copilot сливает данные: как работает атака Reprompt

Исследователи по информационной безопасности обнаружили новый метод атаки на Microsoft Copilot, получивший название Reprompt. Уязвимость позволяла злоумышленникам получить доступ к пользовательской сессии ИИ-помощника и незаметно выкачивать конфиденциальные данные — всего после одного клика по ссылке.

Суть атаки довольно изящная и от этого особенно неприятная. Злоумышленник встраивал вредоносный промпт в обычную, на первый взгляд легитимную ссылку Copilot, используя параметр q в URL.

Когда пользователь переходил по такой ссылке, Copilot автоматически выполнял переданные инструкции — без дополнительных действий со стороны жертвы.

Дальше — интереснее. Reprompt не требовал ни плагинов, ни расширений, ни сложных трюков. Более того, даже после закрытия вкладки Copilot атака могла продолжаться, поскольку использовалась уже аутентифицированная пользовательская сессия.

 

Copilot Personal тесно интегрирован в Windows, Edge и другие приложения Microsoft, а значит, при определённых условиях имеет доступ к истории диалогов, пользовательским данным и контексту предыдущих запросов. Именно этим и воспользовались исследователи.

Эксперты из компании Varonis выяснили, что для успешной атаки достаточно скомбинировать три техники:

  • Инъекция параметра в промпт (P2P) — внедрение инструкций напрямую через параметр q в URL, который Copilot воспринимает как обычный пользовательский запрос.
  • Двойной запрос — обход защитных механизмов Copilot. Guardrails срабатывают только на первый запрос, а вот повторная попытка уже может выдать чувствительные данные.
  • Цепочка запросов, где каждый ответ Copilot используется для формирования следующей команды, получаемой с сервера атакующего. Это позволяет выкачивать данные постепенно и практически незаметно.

 

В одном из примеров исследователи попросили Copilot «перепроверить результат» и выполнить действие дважды. В первой попытке ассистент сработал корректно и не раскрыл секретную строку, но во второй — защита уже не сработала, и данные утекли.

Главная проблема Reprompt — в его «невидимости». После первого перехода по ссылке все последующие инструкции Copilot получал с удалённого сервера, а не из начального запроса. Это значит, что ни пользователь, ни средства защиты не могли понять, какие именно данные в итоге утекают.

Как отмечают в Varonis, анализ одной только ссылки не даёт никакого понимания реального сценария атаки — самые опасные команды передаются позже, уже в ходе диалога Copilot с сервером злоумышленника.

 

Хорошая новость: уязвимость уже закрыта. Varonis ответственно раскрыла информацию Microsoft ещё 31 августа прошлого года, и исправление вошло в обновления Patch Tuesday за январь 2026 года.

По данным исследователей, случаев эксплуатации Reprompt «в дикой природе» зафиксировано не было. Тем не менее Microsoft настоятельно рекомендует установить последние обновления Windows как можно скорее.

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru