Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Soprannominato “Reprompt”, l’attacco ha utilizzato un parametro URL per rubare i dati dell’utente.
- È bastato un solo clic per innescare l’intera catena di attacco.
- Gli aggressori potrebbero estrarre dati sensibili di Copilot, anche dopo la chiusura della finestra.
I ricercatori hanno rivelato un nuovo attacco che richiedeva solo un clic per essere eseguito, aggirando i controlli di sicurezza di Microsoft Copilot e consentendo il furto dei dati degli utenti.
Anche: Come rimuovere Copilot AI da Home windows 11 oggi
Incontra Reprompt
Mercoledì, Varonis Risk Labs ha pubblicato nuova ricerca documentando Reprompt, un nuovo metodo di attacco che ha colpito l’assistente AI Copilot di Microsoft.
Il reprompt ha avuto un impatto su Microsoft Copilot Private e, secondo il staff, ha fornito “agli autori delle minacce un punto di ingresso invisibile per eseguire una catena di esfiltrazione dei dati che aggira completamente i controlli di sicurezza aziendali e accede ai dati sensibili senza rilevamento, il tutto con un clic”.
Anche: I PC AI non si vendono e i associate PC di Microsoft si stanno affrettando
Per attivare questo attacco non è stata necessaria alcuna interazione dell’utente con Copilot o plug-in. Invece, le vittime dovevano fare clic su un collegamento.
Dopo questo singolo clic, Reprompt potrebbe eludere i controlli di sicurezza abusando del parametro URL “q” per inviare un messaggio e azioni dannose a Copilot, consentendo potenzialmente a un utente malintenzionato di richiedere dati precedentemente inviati dall’utente, comprese le informazioni di identificazione personale (PII).
“L’aggressore mantiene il controllo anche quando la chat di Copilot è chiusa, consentendo di esfiltrare silenziosamente la sessione della vittima senza alcuna interazione oltre il primo clic”, hanno affermato i ricercatori.
Come ha funzionato Reprompt?
Reprompt ha concatenato tre tecniche insieme:
- Immediate parametro 2 (iniezione P2P): sfruttando il parametro URL “q”, un utente malintenzionato potrebbe compilare un immediate da un URL e iniettare istruzioni dannose create advert arte che costringono Copilot a eseguire azioni, inclusa l’esfiltrazione di dati.
- Doppia richiesta: Sebbene Copilot disponesse di misure di sicurezza che impedissero l’esfiltrazione diretta o la fuga di dati, il staff ha scoperto che ripetere due volte una richiesta di un’azione ne costringerebbe l’esecuzione.
- Richiesta a catena: una volta eseguito il immediate iniziale (ripetuto due volte), il server della catena di attacco Reprompt ha emesso istruzioni e richieste di follow-up, come richieste di informazioni aggiuntive.
Secondo Varonis, questo metodo period difficile da rilevare perché gli strumenti di monitoraggio lato utente e consumer non potevano vederlo e aggirava i meccanismi di sicurezza integrati mascherando i dati esfiltrati.
“Copilot fa trapelare i dati poco a poco, consentendo alla minaccia di utilizzare ciascuna risposta per generare la successiva istruzione dannosa”, ha aggiunto il staff.
Una dimostrazione video proof-of-concept (PoC) è disponibile.
La risposta di Microsoft
Reprompt è stato segretamente divulgato a Microsoft il 31 agosto 2025. Microsoft ha corretto la vulnerabilità prima della divulgazione pubblica e ha confermato che gli utenti aziendali di Microsoft 365 Copilot non erano interessati.
Anche: Vuoi Microsoft 365? Basta non scegliere Premium: ecco perché
“Apprezziamo Varonis Risk Labs per aver segnalato in modo responsabile questo problema”, ha detto a ZDNET un portavoce di Microsoft. “Abbiamo implementato protezioni che hanno affrontato lo situation descritto e stiamo implementando misure aggiuntive per rafforzare le salvaguardie contro tecniche simili come parte del nostro approccio di difesa in profondità.”
Come stare al sicuro
Gli assistenti AI – e i browser – sono tecnologie relativamente nuove, quindi difficilmente passava una settimana senza che venisse scoperto un problema di sicurezza, un difetto di progettazione o una vulnerabilità.
Il phishing è uno dei vettori più comuni di attacchi informatici e questo particolare attacco richiedeva che l’utente facesse clic su un collegamento dannoso. Quindi, la tua prima linea di difesa è stata quella di essere cauto quando si tratta di hyperlink, soprattutto se non ti fidi della fonte.
Anche: Gemini vs. Copilot: ho confrontato gli strumenti di intelligenza artificiale su 7 attività quotidiane e c’è un chiaro vincitore
Come con qualsiasi servizio digitale, dovresti fare attenzione alla condivisione di informazioni sensibili o personali. Per gli assistenti IA come Copilot, dovresti anche verificare eventuali comportamenti insoliti, come richieste di dati sospette o strani messaggi che potrebbero apparire.
Varonis ha raccomandato ai fornitori e agli utenti di IA di ricordare che la fiducia nelle nuove tecnologie potrebbe essere sfruttata e ha affermato che “Reprompt rappresenta una classe più ampia di vulnerabilità critiche dell’assistente IA guidate da enter esterni”.
Pertanto, il staff ha suggerito che l’URL e gli enter esterni dovrebbero essere trattati come non attendibili e quindi i controlli di convalida e sicurezza dovrebbero essere implementati lungo l’intera catena del processo. Inoltre, dovrebbero essere imposte tutele che riducano il rischio di concatenazioni tempestive e azioni ripetute, e ciò non dovrebbe fermarsi solo al immediate iniziale.
