Pesquisadores identificaram um novo método de ataque chamado “Reprompt”, que permite a invasores se infiltrarem na sessão do Microsoft Copilot de um usuário e enviar comandos para exfiltrar dados sensíveis.
A técnica consiste em ocultar um prompt malicioso dentro de uma URL legítima que, ao ser acessada, contorna as proteções do Copilot.
Dessa forma, o atacante mantém acesso à sessão do modelo de linguagem (LLM) do usuário com apenas um clique.
Além dessa interação simplificada, o Reprompt não exige plugins ou outros artifícios, possibilitando a exfiltração de dados de forma invisível.
O Copilot está integrado ao Windows, ao navegador Edge e a diversos aplicativos de consumo, funcionando como assistente de IA conectado à conta pessoal do usuário.
Ele processa prompts enviados pelo usuário, histórico de conversas e dados pessoais da Microsoft conforme o contexto e as permissões concedidas.
A empresa de segurança e análise de dados Varonis descobriu que é possível acessar a sessão do Copilot explorando três técnicas específicas.
Os pesquisadores revelaram que o Copilot aceita prompts via parâmetro “q” na URL, executando-os automaticamente assim que a página é carregada.
Se um invasor inserir comandos maliciosos nesse parâmetro e enviar a URL à vítima, o Copilot executaria as ações sem o consentimento do usuário.
No entanto, para contornar as proteções do Copilot e permitir a exfiltração contínua, são necessárias técnicas adicionais.
Em seguida, estabelece-se uma troca constante entre o Copilot e o servidor do invasor.
Após o clique inicial no link malicioso, o Reprompt aproveita a sessão autenticada do Copilot, que permanece ativa mesmo com a aba do navegador fechada.
A técnica foi desenvolvida combinando três métodos de ataque:
- **Parameter-to-Prompt (P2P) Injection**: o parâmetro “q” da URL injeta comandos diretamente no Copilot, podendo roubar dados do usuário e históricos armazenados.
- **Double-request Technique**: explora o fato de que as proteções contra vazamento de dados do Copilot são aplicadas apenas na primeira requisição.
Ao forçar o Copilot a repetir ações duas vezes, o invasor contorna essas proteções na segunda solicitação.
- **Chain-request Technique**: o Copilot recebe instruções dinâmicas do servidor do invasor em sequência.
Cada resposta gera a próxima requisição, possibilitando exfiltração contínua e invisível.
Os pesquisadores ressaltam que, como os comandos adicionais são enviados após o prompt inicial, ferramentas de segurança client-side não conseguem identificar quais dados estão sendo roubados.
“Como todos os comandos são entregues pelo servidor após o prompt inicial, não é possível identificar os dados exfiltrados apenas analisando o prompt inicial.
As instruções reais ficam ocultas nas requisições subsequentes do servidor.” – Varonis
A Varonis reportou a vulnerabilidade à Microsoft de forma responsável em 31 de agosto do ano passado.
O problema foi corrigido no Patch Tuesday de janeiro de 2026.
Até o momento, não há registros da exploração do método Reprompt em ataques reais.
Ainda assim, a recomendação é que os usuários instalem a atualização de segurança mais recente do Windows o quanto antes.
A Varonis esclareceu que o Reprompt afeta apenas o Copilot Personal, não impactando o Microsoft 365 Copilot, versão utilizada por clientes corporativos, que conta com proteções adicionais como auditoria Purview, DLP em nível de tenant e restrições administrativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...