微軟已經(jīng)修復(fù)了其Copilot AI助手中的一個嚴(yán)重安全漏洞 ， 該漏洞允許黑客通過用戶單擊一個看似合法的URL鏈接就能竊取大量敏感用戶數(shù)據(jù) 。
這次攻擊是由安全公司Varonis的白帽研究人員發(fā)現(xiàn)的 。 他們設(shè)計的多階段攻擊能夠成功竊取數(shù)據(jù) ， 包括目標(biāo)用戶的姓名、位置信息以及用戶Copilot聊天歷史中的具體事件詳情 。 更令人擔(dān)憂的是 ， 即使用戶關(guān)閉了Copilot聊天窗口 ， 攻擊仍會繼續(xù)運行 ， 一旦用戶點擊了郵件中那個看似合法的Copilot鏈接 ， 就無需進(jìn)一步交互 。 這種攻擊和由此產(chǎn)生的數(shù)據(jù)盜竊繞過了企業(yè)終端安全控制和終端保護應(yīng)用的檢測 。
攻擊機制分析
Varonis安全研究員Dolev Taler向媒體解釋說：\"一旦我們發(fā)送帶有惡意提示的鏈接 ， 用戶只需點擊鏈接 ， 惡意任務(wù)就會立即執(zhí)行 。 即使用戶只是點擊鏈接然后立即關(guān)閉Copilot聊天標(biāo)簽頁 ， 攻擊仍然有效 。 \"
攻擊的基礎(chǔ)URL指向Varonis控制的域名 。 在末尾附加了一長串詳細(xì)指令 ， 以q參數(shù)的形式存在 ， Copilot和大多數(shù)其他大語言模型都使用這種方式將URL直接輸入到用戶提示中 。 當(dāng)被點擊時 ， 該參數(shù)會導(dǎo)致Copilot Personal將個人詳細(xì)信息嵌入到網(wǎng)絡(luò)請求中 。
嵌入為q參數(shù)的完整提示內(nèi)容包含了復(fù)雜的偽代碼指令 ， 這些指令成功提取了用戶秘密信息 ， 并將包含敏感數(shù)據(jù)的網(wǎng)絡(luò)請求發(fā)送到Varonis控制的服務(wù)器 。 攻擊并未就此結(jié)束 ， 偽裝的圖片文件包含進(jìn)一步的指令 ， 尋求包括目標(biāo)用戶名和位置在內(nèi)的詳細(xì)信息 。
安全防護機制的缺陷
與大多數(shù)大語言模型攻擊一樣 ， Varonis攻擊的根本原因是無法在用戶直接輸入的問題或指令與請求中包含的不可信數(shù)據(jù)之間劃定清晰的邊界 。 這導(dǎo)致了間接提示注入攻擊 ， 目前沒有任何大語言模型能夠完全防范這種攻擊 。 微軟在這種情況下的對策是在Copilot中構(gòu)建防護欄 ， 旨在防止其泄露敏感數(shù)據(jù) 。
然而 ， Varonis發(fā)現(xiàn)這些防護欄僅應(yīng)用于初始請求 。 由于提示注入指令Copilot重復(fù)每個請求 ， 第二次請求成功誘導(dǎo)大語言模型泄露私人數(shù)據(jù) 。 后續(xù)的間接提示也被重復(fù)執(zhí)行 ， 允許多個階段的攻擊 ， 如前所述 ， 即使目標(biāo)關(guān)閉聊天窗口 ， 攻擊也會繼續(xù)進(jìn)行 。
Taler表示：\"微軟的防護欄設(shè)計不當(dāng) ， 他們沒有進(jìn)行威脅建模來理解有人如何利用這種缺陷來泄露數(shù)據(jù) 。 \"
修復(fù)情況
Varonis在周三發(fā)布的帖子中披露了這次攻擊 ， 其中包括兩個演示攻擊的短視頻 ， 公司研究人員將這種攻擊命名為\"Reprompt\" 。 該安全公司私下向微軟報告了其發(fā)現(xiàn) ， 截至周二 ， 微軟已經(jīng)引入了阻止該攻擊的更改 。 該漏洞僅影響Copilot Personal ， Microsoft 365 Copilot不受影響 。
Q&A
Q1：什么是Reprompt攻擊？它是如何工作的？
A：Reprompt是Varonis研究人員發(fā)現(xiàn)的一種針對微軟Copilot AI助手的多階段攻擊方法 。 攻擊者通過在合法URL中嵌入惡意提示參數(shù) ， 當(dāng)用戶點擊鏈接時 ， 就會觸發(fā)Copilot執(zhí)行惡意指令 ， 竊取用戶的姓名、位置和聊天歷史等敏感信息 。
Q2：為什么微軟的安全防護沒能阻止這種攻擊？
A：微軟在Copilot中設(shè)置的防護欄只對初始請求生效 ， 但攻擊利用了重復(fù)請求的機制 。 第二次請求成功繞過了安全檢測 ， 導(dǎo)致大語言模型泄露私人數(shù)據(jù) 。 研究人員認(rèn)為微軟沒有進(jìn)行充分的威脅建模來預(yù)防這種攻擊方式 。
【微軟Copilot AI助手曝重大安全漏洞 單擊鏈接即可竊取用戶隱私】Q3：普通用戶如何防范類似的AI助手攻擊？
A：用戶應(yīng)該謹(jǐn)慎點擊來源不明的鏈接 ， 特別是那些包含復(fù)雜參數(shù)的URL 。 同時要及時更新AI助手軟件 ， 關(guān)注官方安全公告 。 微軟已經(jīng)修復(fù)了這個特定漏洞 ， 但用戶仍需保持警惕 ， 因為類似的間接提示注入攻擊目前還沒有完全的防范方案 。

推薦閱讀

• 

  蘋果x發(fā)熱嚴(yán)重怎么辦
• 

  胡須簡筆畫
• 

  環(huán)境污染整治是生豬產(chǎn)業(yè)規(guī)模化進(jìn)程中必須面對的問題
• 

  番號發(fā)源地
• 

  oppor15中查詢真?zhèn)蔚暮唵尾襟E
• 

  手可以接觸稀釋過的84消毒液嗎 84消毒液注意事項有哪些
• 

  什么時間喝姜蜜茶最好
• 

  華為p40怎么打開OTG
• 

  粉底液和粉底霜的區(qū)別是什么 粉底液和粉底霜的區(qū)別
• 

  空調(diào)不制熱的原因是什么
• 

  怎么開通親密付
• 

  有沒有池州到武漢的高鐵，池州怎么到武漢
• 

  湖北省哪里有在建旅游區(qū),襄陽這個地方將打造成旅游區(qū)
• 

  ps給圖片加質(zhì)感顆粒
• 

  瘦臉針多少錢 打完后能保持多久
• 

  阜新到哈爾濱高鐵什么時候通車，東北直達(dá)長三角地區(qū)的火車開了嗎

• 微軟推出社區(qū)優(yōu)先模式擴展AI基礎(chǔ)設(shè)施建設(shè)
• 研究人員揭露Reprompt攻擊：一鍵竊取微軟Copilot數(shù)據(jù)
• 微軟谷歌正在大力招「電工」
• 淘寶閃購騎士 AI助手上線個性化天氣提醒 送單可全程語音操作
• 微軟終止Windows Vista代碼庫支持，18年更新歷史落幕
• Anthropic掏出700塊一個月的全能“AI同事”，直面微軟Copilot
• 微軟封殺“系統(tǒng)激活器”？真相卻是反轉(zhuǎn)再反轉(zhuǎn)
• DuRoBo Krono：搭載AI助手的智能手機尺寸電子閱讀器
• 微軟抽調(diào)工程師重組GitHub團隊，硬剛Cursor、Claude Code
• 消息稱微軟擬本月啟動新一輪裁員 規(guī)模達(dá)1.1萬至2.2萬人