Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Chamado de “Reprompt”, o ataque usou um parâmetro de URL para roubar dados do usuário.
- Um único clique foi suficiente para acionar toda a cadeia de ataque.
- Os invasores podem extrair dados confidenciais do Copilot, mesmo após o fechamento da janela.
Os pesquisadores revelaram um novo ataque que exigia apenas um clique para ser executado, contornando os controles de segurança do Microsoft Copilot e permitindo o roubo de dados do usuário.
Também: Como remover o Copilot AI do Home windows 11 hoje
Conheça a nova solicitação
Na quarta-feira, o Varonis Risk Labs publicou nova pesquisa documentando Reprompt, um novo método de ataque que afetou o assistente Copilot AI da Microsoft.
O Reprompt impactou o Microsoft Copilot Private e, de acordo com a equipe, deu aos “atores de ameaças um ponto de entrada invisível para executar uma cadeia de exfiltração de dados que contorna totalmente os controles de segurança corporativos e acessa dados confidenciais sem detecção – tudo com um clique”.
Também: Os PCs com IA não estão vendendo e os parceiros de PC da Microsoft estão lutando
Nenhuma interação do usuário com o Copilot ou plug-ins foi necessária para que esse ataque fosse desencadeado. Em vez disso, as vítimas tiveram que clicar em um hyperlink.
Após esse único clique, o Reprompt poderia contornar os controles de segurança abusando do parâmetro de URL ‘q’ para enviar ações imediatas e maliciosas ao Copilot, permitindo potencialmente que um invasor solicite dados previamente enviados pelo usuário – incluindo informações de identificação pessoal (PII).
“O invasor mantém o controle mesmo quando o chat do Copilot é fechado, permitindo que a sessão da vítima seja exfiltrada silenciosamente, sem nenhuma interação além do primeiro clique”, disseram os pesquisadores.
Como funcionou o Repromp?
Repromp encadeou três técnicas:
- Immediate do Parâmetro 2 (injeção P2P): ao explorar o parâmetro de URL ‘q’, um invasor pode preencher um immediate de um URL e injetar instruções maliciosas criadas que forçam o Copilot a executar ações, incluindo exfiltração de dados.
- Pedido duplo: embora o Copilot tivesse salvaguardas que impediam a exfiltração ou vazamento direto de dados, a equipe descobriu que repetir duas vezes uma solicitação de ação forçaria sua execução.
- Solicitação de cadeia: Depois que o immediate inicial (repetido duas vezes) foi executado, o servidor da cadeia de ataque Reprompt emitiu instruções e solicitações de acompanhamento, como demandas por informações adicionais.
De acordo com Varonis, esse método period difícil de detectar porque as ferramentas de monitoramento do lado do usuário e do cliente não conseguiam vê-lo e contornava os mecanismos de segurança integrados, ao mesmo tempo que disfarçava os dados que estavam sendo exfiltrados.
“O Copilot vaza os dados aos poucos, permitindo que a ameaça use cada resposta para gerar a próxima instrução maliciosa”, acrescentou a equipe.
Uma demonstração em vídeo de prova de conceito (PoC) é disponível.
Resposta da Microsoft
O Reprompt foi divulgado discretamente à Microsoft em 31 de agosto de 2025. A Microsoft corrigiu a vulnerabilidade antes da divulgação pública e confirmou que os usuários corporativos do Microsoft 365 Copilot não foram afetados.
Também: Quer o Microsoft 365? Apenas não escolha Premium – aqui está o porquê
“Agradecemos o Varonis Risk Labs por relatar esse problema de forma responsável”, disse um porta-voz da Microsoft ao ZDNET. “Implementamos proteções que abordam o cenário descrito e estamos implementando medidas adicionais para fortalecer as salvaguardas contra técnicas semelhantes como parte da nossa abordagem de defesa em profundidade”.
Como se manter seguro
Assistentes de IA – e navegadores – são tecnologias relativamente novas, então dificilmente se passava uma semana sem que um problema de segurança, falha de design ou vulnerabilidade fosse descoberto.
O phishing é um dos vetores mais comuns de ataques cibernéticos, e esse ataque específico exigia que o usuário clicasse em um hyperlink malicioso. Portanto, sua primeira linha de defesa seria ser cauteloso quando se tratasse de hyperlinks, principalmente se você não confiasse na fonte.
Também: Gêmeos x Copiloto: comparei as ferramentas de IA em 7 tarefas diárias e há um vencedor claro
Como acontece com qualquer serviço digital, você deve ter cuidado ao compartilhar informações confidenciais ou pessoais. Para assistentes de IA como o Copilot, você também deve verificar qualquer comportamento incomum, como solicitações de dados suspeitas ou avisos estranhos que possam aparecer.
Varonis recomendou que os fornecedores e usuários de IA se lembrem de que a confiança em novas tecnologias pode ser explorada e disse que “Reprompt representa uma classe mais ampla de vulnerabilidades críticas de assistentes de IA impulsionadas por informações externas”.
Como tal, a equipe sugeriu que URLs e entradas externas deveriam ser tratadas como não confiáveis e, portanto, a validação e os controles de segurança deveriam ser implementados em toda a cadeia do processo. Além disso, devem ser impostas salvaguardas que reduzam o risco de encadeamento imediato e de ações repetidas, e isto não deve parar apenas no alerta inicial.
