微软Copilot安全漏洞：一键窃取敏感数据攻击解析

与之前的EchoLeak（CVE-2025-32711）等漏洞不同，Reprompt攻击无需借助文档或插件即可实施，这凸显了AI平台中URL参数所蕴含的安全风险。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

研究人员发现了一种针对微软Copilot Personal版本的新型一键式攻击，攻击者可利用该漏洞悄无声息地窃取用户的敏感数据。该漏洞现已被修复，此前攻击者仅需通过钓鱼链接即可劫持会话，而无需与用户进行任何额外交互。

攻击原理：参数注入实现会话劫持

攻击者通过发送包含恶意“q”参数的Copilot合法URL钓鱼邮件发起Reprompt攻击，该参数会在页面加载时自动执行预设指令。这种“参数转指令”注入技术利用了受害者已认证的会话，即使关闭标签页，会话依然有效。攻击者可借此查询用户名、地理位置、文件访问记录乃至休假计划等个人信息。

攻击链随后采用服务器驱动的后续操作，指令动态展开以规避客户端检测。

攻击链示意图（来源：Varonis）

三大核心技术突破防护机制

Varonis详细披露了突破Copilot防护机制的三大核心技术，这些防护原本用于阻止URL获取和数据泄露：

这些技术使数据窃取难以察觉，看似无害的指令背后，信息正逐步泄露至攻击者服务器。

泄露的敏感数据类型（来源：Varonis）

影响范围与修复情况

Reprompt攻击针对集成在Windows和Edge中的Copilot Personal消费者版本，可获取指令记录、历史记录及微软数据。使用Microsoft 365 Copilot的企业用户不受影响，因其具备Purview审计、租户DLP和管理控制等防护措施。

虽然尚未发现实际攻击案例，但通过电子邮件或聊天的一键式攻击低门槛特性，仍对财务计划、医疗笔记等数据构成风险。Varonis于2025年8月31日向微软负责任地披露了该问题，微软在2026年1月13日的“补丁星期二”发布了修复程序。用户应立即安装最新Windows更新以彻底阻断攻击。

行业警示与防护建议

与之前EchoLeak等漏洞不同，Reprompt攻击无需文档或插件即可实施，这凸显了AI平台中URL参数的风险。各组织应将AI的URL输入视为不可信来源，并对链式指令实施持续防护。Copilot Personal用户应警惕预填充指令，避免点击不可信链接，并监控异常数据请求行为。

安全专家呼吁微软等厂商深度审计外部输入，在AI应用场景中预设内部级访问控制，以预防类似攻击链。