針對 Microsoft Copilot 的新型攻擊方法「Reprompt」,研究顯示,駭客可透過惡意 URL 劫持個人版 Copilot 會話,繞過安全機制並在用戶不知情下竊取敏感資料。
關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2026.01.15
事件與威脅/人工智慧
Reprompt 攻擊劫持了 Microsoft Copilot 會話以竊取數據
新型態 AI 助手攻擊演進與 Reprompt 威脅概論

隨著生成式人工智慧(LLM)深度整合至作業系統與瀏覽器,AI 助手已成為處理敏感個人資訊的核心樞紐。研究人員發現了一種名為「Reprompt」的攻擊方法,該方法可能允許攻擊者滲透使用者的 Microsoft Copilot 會話並發出命令以竊取敏感資料。透過在合法 URL 中隱藏惡意提示並繞過 Copilot 的保護措施,駭客可以在使用者點擊單一連結後繼續存取受害者的 LLM 會話。除了單點互動外,Reprompt 不需要任何插件或其他技巧,並且允許隱藏的資料外洩。這種攻擊利用了使用者對 AI 助手合法介面的信任,將傳統的釣魚手法升級為動態、持續的對話劫持,對數位資產安全構成了新型態的嚴峻挑戰。


Copilot 架構權限與受攻擊面分析

Copilot 可連接到個人帳戶並充當 AI 助手,整合到 Windows 和 Edge 瀏覽器以及各種消費者應用程式中。因此,根據上下文和權限,它可以存取和分析使用者提供的提示、對話歷史記錄和某些個人 Microsoft 資料。這種高度集成的特性,使得 Copilot 成為攻擊者眼中的高價值目標。當攻擊者成功劫持會話後,由於 Copilot 具備讀取使用者雲端文件、郵件摘要及歷史紀錄的能力,這意味著攻擊者不僅能獲取當前對話,更可能擴及至整個 Microsoft 生態系統中的個人隱私。


Reprompt 技術原理與 URL 參數操縱

資料安全和分析公司 Varonis 的安全研究人員發現,利用三種技術可以存取使用者的 Copilot 會話。他們發現,Copilot 會透過 URL 中的「q」參數接收提示訊息,並在頁面載入時自動執行這些提示。如果攻擊者能夠將惡意指令嵌入到該參數中,並將 URL 傳送給目標用戶,他們就可以在用戶不知情的情況下讓 Copilot 代表用戶執行操作。這種利用合法 API 參數注入惡意負載的方式,極難被一般的過濾機制檢測,因為 URL 本身指向的是微軟官方網域。


繞過安全保護措施與持續性會話維護

然而,還需要其他方法才能繞過 Copilot 的安全措施,並透過攻擊者的後續指令不斷竊取資料。Varonis 在其報告中解釋說,Reprompt 攻擊流程包括使用合法的 Copilot 連結釣魚受害者,觸發 Copilot 執行注入的提示,然後在 Copilot 和攻擊者的伺服器之間保持持續的來回交換。在目標使用者首次點擊釣魚連結後,Reprompt 會利用受害者現有的已驗證 Copilot 會話,即使 Copilot 標籤頁關閉後,該會話仍然有效。這種持久性是 Reprompt 最具威脅性的特徵之一,它將一次性的點擊轉化為長期的監控管道。


伺服器端指令發送與隱蔽外洩路徑

研究人員指出,由於 Copilot 的指令是在攻擊者伺服器發出初始提示後才發出的,因此客戶端安全工具無法推斷正在竊取哪些資料。所有命令都是在初始提示符號之後由伺服器發出的,因此僅憑檢查初始提示符無法確定正在竊取哪些資料。真正的指令隱藏在伺服器的後續請求中。這種技術將攻擊邏輯從客戶端轉移到攻擊者控制的後端,使得傳統基於簽章或流量模式的端點防護軟體(EDR)難以即時攔截,因為外洩的資料被包裝在正常的 AI 對話封包中。


漏洞披露歷程與安全補丁狀態

研究人員於 2025 年 8 月 31 日負責任地向微軟披露了 Reprompt,該問題已於昨日(2026 年 1 月的星期二)在補丁星期二得到修復。雖然尚未在實際環境中檢測到對 Reprompt 方法的利用,且該問題已解決,但強烈建議盡快套用最新的 Windows 安全性更新。這次事件突顯了協同披露機制在應對新興 AI 漏洞中的重要性,也提醒用戶即時更新系統是防禦已知漏洞的最有效手段。


個人版與企業版 Copilot 的防護差異分析

Varonis 澄清說,Reprompt 只會影響 Copilot Personal,而不會影響面向企業客戶的 Microsoft 365 Copilot,後者受到額外的安全控制措施(例如 Purview 審核、租用戶級 DLP 和管理員強制執行的限制)的更好保護。企業版環境中的資料隔離與合規性控制,有效地在 LLM 推論與外部網路之間建立了緩衝帶,這也說明了為何企業在部署 AI 應用時,應優先選擇具備企業級安全控制權限的版本,而非依賴個人端工具處理商務機密。


AI 應用安全建言與未來防禦展望

面對如 Reprompt 這類利用 AI 會話邏輯的攻擊,單純的 URL 過濾已不足夠。建議未來在開發或使用 AI 助手時,應實施更嚴格的會話生命週期管理與來源驗證。除了系統更新外,使用者應避免點擊來路不明的 AI 功能連結。對於開發者而言,應重新評估 URL 傳參執行指令的必要性,並在執行涉及個人資料的操作前,引入二次確認(Human-in-the-loop)機制,以防堵自動化惡意提示的滲透。


資料來源:https://www.bleepingcomputer.com/news/security/reprompt-attack-let-hackers-hijack-microsoft-copilot-sessions/
 
針對 Microsoft Copilot 的新型攻擊方法「Reprompt」,研究顯示,駭客可透過惡意 URL 劫持個人版 Copilot 會話,繞過安全機制並在用戶不知情下竊取敏感資料。