微软Copilot AI助手曝重大安全漏洞 单击链接即可窃取用户隐私

微软已经修复了其Copilot AI助手中的一个严重安全漏洞，该漏洞允许黑客通过用户单击一个看似合法的URL链接就能窃取大量敏感用户数据。

这次攻击是由安全公司Varonis的白帽研究人员发现的。他们设计的多阶段攻击能够成功窃取数据，包括目标用户的姓名、位置信息以及用户Copilot聊天历史中的具体事件详情。更令人担忧的是，即使用户关闭了Copilot聊天窗口，攻击仍会继续运行，一旦用户点击了邮件中那个看似合法的Copilot链接，就无需进一步交互。这种攻击和由此产生的数据盗窃绕过了企业终端安全控制和终端保护应用的检测。

攻击机制分析

Varonis安全研究员Dolev Taler向媒体解释说："一旦我们发送带有恶意提示的链接，用户只需点击链接，恶意任务就会立即执行。即使用户只是点击链接然后立即关闭Copilot聊天标签页，攻击仍然有效。"

攻击的基础URL指向Varonis控制的域名。在末尾附加了一长串详细指令，以q参数的形式存在，Copilot和大多数其他大语言模型都使用这种方式将URL直接输入到用户提示中。当被点击时，该参数会导致Copilot Personal将个人详细信息嵌入到网络请求中。

嵌入为q参数的完整提示内容包含了复杂的伪代码指令，这些指令成功提取了用户秘密信息，并将包含敏感数据的网络请求发送到Varonis控制的服务器。攻击并未就此结束，伪装的图片文件包含进一步的指令，寻求包括目标用户名和位置在内的详细信息。

安全防护机制的缺陷

与大多数大语言模型攻击一样，Varonis攻击的根本原因是无法在用户直接输入的问题或指令与请求中包含的不可信数据之间划定清晰的边界。这导致了间接提示注入攻击，目前没有任何大语言模型能够完全防范这种攻击。微软在这种情况下的对策是在Copilot中构建防护栏，旨在防止其泄露敏感数据。

然而，Varonis发现这些防护栏仅应用于初始请求。由于提示注入指令Copilot重复每个请求，第二次请求成功诱导大语言模型泄露私人数据。后续的间接提示也被重复执行，允许多个阶段的攻击，如前所述，即使目标关闭聊天窗口，攻击也会继续进行。

Taler表示："微软的防护栏设计不当，他们没有进行威胁建模来理解有人如何利用这种缺陷来泄露数据。"

修复情况

Varonis在周三发布的帖子中披露了这次攻击，其中包括两个演示攻击的短视频，公司研究人员将这种攻击命名为"Reprompt"。该安全公司私下向微软报告了其发现，截至周二，微软已经引入了阻止该攻击的更改。该漏洞仅影响Copilot Personal，Microsoft 365 Copilot不受影响。

Q&A

Q1：什么是Reprompt攻击？它是如何工作的？

A：Reprompt是Varonis研究人员发现的一种针对微软Copilot AI助手的多阶段攻击方法。攻击者通过在合法URL中嵌入恶意提示参数，当用户点击链接时，就会触发Copilot执行恶意指令，窃取用户的姓名、位置和聊天历史等敏感信息。

Q2：为什么微软的安全防护没能阻止这种攻击？

A：微软在Copilot中设置的防护栏只对初始请求生效，但攻击利用了重复请求的机制。第二次请求成功绕过了安全检测，导致大语言模型泄露私人数据。研究人员认为微软没有进行充分的威胁建模来预防这种攻击方式。

Q3：普通用户如何防范类似的AI助手攻击？

A：用户应该谨慎点击来源不明的链接，特别是那些包含复杂参数的URL。同时要及时更新AI助手软件，关注官方安全公告。微软已经修复了这个特定漏洞，但用户仍需保持警惕，因为类似的间接提示注入攻击目前还没有完全的防范方案。