Microsoft Copilot pod atakiem – jedno kliknięcie wystarczy do wycieku danych

Czy jedno kliknięcie może zmienić Copilota w kanał do wycieku danych? Niestety tak – i to w sposób zaskakująco elegancki.

Badacze z Varonis ujawnili atak „Reprompt”, który pozwalał kraść dane z Microsoft Copilot po pojedynczym kliknięciu w autentyczny link Microsoftu. Bez wtyczek, bez rozmowy z botem, bez widocznych fajerwerków – a jednak z realnym ryzykiem wycieku prywatnych informacji. Microsoft załatał problem przed publikacją, a wersja enterprise (Microsoft 365 Copilot) nie była podatna. Ale lekcja zostaje: guardrails w AI łatwo ominąć, jeśli system nie odróżnia „prawdziwego” użytkownika od instrukcji przemyconej bocznym kanałem.

To ważne, bo Copilot – jak inne asystenty AI – coraz głębiej siedzi w przeglądarce, Windowsie i naszych danych. Reprompt pokazał, że jedno dobrze podane polecenie potrafi przeobrazić zaufanego pomocnika w ciche łącze exfiltracyjne. To nie kolejny phishing z doczepionym makrem. To trend: ataki na logikę modeli, które obchodzą standardowe zabezpieczenia, bo uderzają w to, jak LLM-y „rozumieją” kontekst.

O co chodzi

Reprompt to łańcuch trzech sztuczek, który w praktyce przejmował sesję Copilota w tle. Kluczowe było przemycenie instrukcji do modelu poprzez parametr zapytania w adresie URL. Gdy ofiara klikała „zwykły” link do Copilota, ten automatycznie wykonywał polecenia ukryte w adresie, a potem kontynuował wymianę z serwerem atakującego, który dosyłał kolejne komendy. „Wystarczy jedno kliknięcie w prawdziwy link Microsoftu, by skompromitować ofiarę. Żadnych wtyczek, żadnej interakcji z Copilotem” – podsumował Dolev Taler z Varonis. I jeszcze mocniej: „Atakujący utrzymuje kontrolę nawet po zamknięciu okna czatu, cicho wysysając dane z sesji”.

Jak to działa (w skrócie, bez instrukcji obsługi)

• Wejście do modelu: Copilot akceptował polecenia z parametru URL i wykonywał je przy starcie. To „parameter-to-prompt injection”, tyle że bez klikania czegokolwiek poza samym linkiem.
• Ominięcie zabezpieczeń: filtry przed wyciekiem danych działały w pierwszym żądaniu. Varonis pokazał, że wystarczyło kazać Copilotowi „powtórzyć czynność” i porównać wyniki – za drugim razem filtr przepuszczał treść, która w pierwszej próbie była ocenzurowana.
• Trwałość i niewidoczność: po inicjalnym strzale serwer napastnika prowadził z Copilotem dialog w tle, prosząc krok po kroku o kolejne informacje, zależnie od tego, co już wyciekło. Dla użytkownika – cisza. Dla narzędzi po stronie klienta – cisza. Prawdziwe instrukcje żyły w follow-upach po stronie serwera.

Kontekst: LLM-y i granice zaufania

Reprompt to podręcznikowy przykład tzw. niebezpośrednich iniekcji promptów. Model nie odróżnia, czy instrukcja pochodzi od człowieka na klawiaturze, czy została wszyta w dane wejściowe (adres, treść strony, zapytanie). Jeśli mechanizm zaufania jest zbyt prosty („wykonuj wszystko, co wygląda jak polecenie użytkownika”), atakujący wsuwa swój tekst pod maskę „legalnego kontekstu”. Stąd ta nieprzyjemna właściwość: łańcuch exfiltracji bywa kompletnie niewidoczny dla ochrony po stronie użytkownika, bo z punktu widzenia przeglądarki dzieje się „zwykła praca bota”.

Fakty, dane, cytaty

• Cel: Copilot Personal. Microsoft potwierdził, że Microsoft 365 Copilot dla firm nie był podatny – chronią go m.in. polityki DLP, audyt Purview i ograniczenia na poziomie tenantów.
• Wektor: link do prawdziwej domeny Copilota z ukrytą instrukcją. Po kliknięciu model wykonywał czynność, a serwer atakującego dosyłał kolejne polecenia.
• Ominięcie zabezpieczeń: powtórzenie tej samej operacji pozwalało obejść filtr, który działał tylko za pierwszym razem. Varonis pokazał, jak „druga próba” potrafiła ujawnić dane, których „pierwsza” nie wypuściła.
• Detekcja: słaba. „Ponieważ komendy po inicjalnym promptcie idą z serwera, nie da się ocenić, co wycieka, patrząc tylko na pierwszy adres. Prawdziwe instrukcje są ukryte w kolejnych żądaniach” – piszą badacze.

Microsoft: szybka łatka i „defense-in-depth”

Firma dostała zgłoszenie w trybie responsible disclosure i wprowadziła poprawki przed upublicznieniem szczegółów. „Wdrożyliśmy zabezpieczenia, które neutralizują opisany scenariusz, i pracujemy nad dodatkowymi barierami w duchu defense-in-depth” – przekazał Microsoft. To standardowa odpowiedź, ale w tym przypadku kluczowa, bo atak obchodził „enterprise’owe” mechanizmy ochronne właśnie dlatego, że dotyczył wersji konsumenckiej, gdzie takich narzędzi z definicji nie ma. Nie ma też publicznych dowodów, że Reprompt był wykorzystywany na dużą skalę, co nie znaczy, że podobnych prób nie będzie.

Komentarz: co naprawdę tu pękło

Reprompt nie „hakował” sieci czy kryptografii. Trafił w logikę asystenta, który bierze kontekst za dobrą monetę. Jedno zgrabne polecenie skleiło trzy luki: zaufanie do parametru, jednorazowość filtra i chęć „pomagania” aż do skutku. Gdy modele będą coraz bardziej autonomiczne (łączniki do aplikacji, „pamięć”, wykonywanie akcji), to właśnie ten rodzaj podatności – nie w kodzie, a w protokołach interakcji – będzie gryzł nas najczęściej.

Co robić (poza „nie klikać w linki”)

• Aktualizacje – zawsze i od razu.
• Higiena linków – nawet adres do „prawdziwej” domeny może nieść instrukcje dla bota.
• Ograniczenia dostępu – w firmie trzymaj Copilota i integracje na krótkiej smyczy, wymuszaj DLP i audyt tam, gdzie to możliwe.
• Po stronie twórców narzędzi – nie ufaj wejściu tylko dlatego, że przyszło w „legalnym” polu. Traktuj kontekst jak niesprawdzone dane użytkownika.

Na koniec

Asystenci AI mają pomagać, nie wynosić służbowych notatek bocznymi drzwiami. Reprompt został załatany, ale zostawił po sobie klarowny morał: jeśli model nie rozróżnia, kto do niego mówi, każdy link może być megafonem dla atakującego. Pytanie nie brzmi „czy”, tylko „kiedy” zobaczymy kolejną wariację. I czy tym razem strażnik w pierwszym oknie będzie czujniejszy w drugim.

FAQ

Czy Microsoft 365 Copilot był podatny na atak Reprompt?

Nie. Microsoft potwierdził, że podatna była wersja Copilot Personal, a enterprise’owy Microsoft 365 Copilot nie był dotknięty dzięki dodatkowym kontrolom.

Kiedy Microsoft załatał lukę Reprompt w Copilot?

Luka została załatana przed publicznym ujawnieniem szczegółów badań w styczniu 2026 roku. Microsoft wdrożył też dodatkowe zabezpieczenia dla podobnych technik.

Czy moje dane mogły wyciec, jeśli używam Copilot Personal?

Tak, jeśli kliknąłeś złośliwy link prowadzący do Copilota w okresie podatności. Zainstaluj aktualizacje.

Jak mogę się chronić przed podobnymi atakami na asystentów AI?

Podstawą są aktualizacje i ostrożność wobec linków, nawet do „prawdziwych” domen. W organizacjach włącz DLP/audyt, ogranicz uprawnienia i integracje asystentów z danymi, a po stronie deweloperskiej traktuj kontekst LLM jak nieufne wejście.

Czy są potwierdzone przypadki wykorzystania Reprompt na dużą skalę?

Nie. Nie ma publicznie potwierdzonych przypadków masowego wykorzystania tej techniki, choć badacze podkreślają, że była wykonalna i trudna do wykrycia.

Źródła

• [1] https://thehackernews.com/2026/01/researchers-reveal-reprompt-attack.html
• [2] https://itsecuritynews.info/researchers-reveal-reprompt-attack-allowing-single-click-data-exfiltration-from-microsoft-copilot/
• [3] https://filmogaz.com/100676
• [4] https://bleepingcomputer.com/news/security/reprompt-attack-let-hackers-hijack-microsoft-copilot-sessions/
• [5] https://zdnet.com/article/copilot-steal-data-reprompt-vulnerability/