游乐游手机版
首页/科技数码/文章详情

微软Copilot安全漏洞:一键窃取敏感数据攻击解析

时间:2026-01-15 16:46
与此前EchoLeak(CVE-2025-32711)等漏洞不同,Reprompt攻击无需文档或插件即可实施,凸显了AI平台中URL参数的风险。 研究人员发现针对微软Copilot Personal

与之前的EchoLeak(CVE-2025-32711)等漏洞不同,Reprompt攻击无需借助文档或插件即可实施,这凸显了AI平台中URL参数所蕴含的安全风险。

研究人员发现了一种针对微软Copilot Personal版本的新型一键式攻击,攻击者可利用该漏洞悄无声息地窃取用户的敏感数据。该漏洞现已被修复,此前攻击者仅需通过钓鱼链接即可劫持会话,而无需与用户进行任何额外交互。

攻击原理:参数注入实现会话劫持

攻击者通过发送包含恶意“q”参数的Copilot合法URL钓鱼邮件发起Reprompt攻击,该参数会在页面加载时自动执行预设指令。这种“参数转指令”注入技术利用了受害者已认证的会话,即使关闭标签页,会话依然有效。攻击者可借此查询用户名、地理位置、文件访问记录乃至休假计划等个人信息。

攻击链随后采用服务器驱动的后续操作,指令动态展开以规避客户端检测。

\

攻击链示意图(来源:Varonis)

三大核心技术突破防护机制

Varonis详细披露了突破Copilot防护机制的三大核心技术,这些防护原本用于阻止URL获取和数据泄露:

这些技术使数据窃取难以察觉,看似无害的指令背后,信息正逐步泄露至攻击者服务器。

\

泄露的敏感数据类型(来源:Varonis)

影响范围与修复情况

Reprompt攻击针对集成在Windows和Edge中的Copilot Personal消费者版本,可获取指令记录、历史记录及微软数据。使用Microsoft 365 Copilot的企业用户不受影响,因其具备Purview审计、租户DLP和管理控制等防护措施。

虽然尚未发现实际攻击案例,但通过电子邮件或聊天的一键式攻击低门槛特性,仍对财务计划、医疗笔记等数据构成风险。Varonis于2025年8月31日向微软负责任地披露了该问题,微软在2026年1月13日的“补丁星期二”发布了修复程序。用户应立即安装最新Windows更新以彻底阻断攻击。

行业警示与防护建议

与之前EchoLeak等漏洞不同,Reprompt攻击无需文档或插件即可实施,这凸显了AI平台中URL参数的风险。各组织应将AI的URL输入视为不可信来源,并对链式指令实施持续防护。Copilot Personal用户应警惕预填充指令,避免点击不可信链接,并监控异常数据请求行为。

安全专家呼吁微软等厂商深度审计外部输入,在AI应用场景中预设内部级访问控制,以预防类似攻击链。

来源:https://www.51cto.com/article/834300.html
上一篇三星Galaxy Z TriFold折叠屏:三折形态重构移动生产力新范式 下一篇雷军1月15日晚8点直播详解SU7与智驾新进展
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元
科技数码 · 2026-07-03

泰坦军团战魂KG277VPLUS双模显示器27英寸4K165Hz/520Hz仅1888元

泰坦军团“战魂KG277VPLUS”27英寸显示器发售,支持4K165Hz与FHD520Hz双模切换,定价1888元。采用FastIPS面板,97%DCI-P3色域,配备升降支架及双HDMI2 1和双DP1 4接口。

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%
科技数码 · 2026-07-03

苹果调价影响消费需求 2026年全球笔电出货量或降13.6%

迈入2026年,DRAM与NAND闪存的供应持续紧张及价格不断攀升,正逐步传导至终端消费市场。可以预见,下半年市场环境将更加严峻。上半年多家PC厂商已陆续上调产品定价,最终连苹果也不得不跟进,宣布提升iPad、Mac及家居设备的价格,以应对存储成本的快速上涨。 TrendForce分析指出,苹果全面

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波
科技数码 · 2026-07-03

苹果iPhone 18 Pro自研C2芯片或不支持5G毫米波

苹果自研C2芯片仅支持Sub-6GHz,不支持5G毫米波。因此,美版iPhone18Pro继续采用高通基带方案以支持毫米波,而其他地区版本则搭载苹果自研C2芯片。这一差异将导致在毫米波覆盖的市场中,用户峰值速率可能显著低于美版用户。

纳睿雷达推出睿宸超精细化短时临近AI气象大模型
科技数码 · 2026-07-03

纳睿雷达推出睿宸超精细化短时临近AI气象大模型

纳睿雷达近日释放了一项重磅成果。2026年7月1日,公司正式对外发布了两款自主研发的全新产品:一款是“WDSPT0152型”S波段全极化多功能有源相控阵雷达,另一款则是名为“睿宸”的超精细化短时临近AI气象大模型。从产品战略来看,此次发布直指气象监测与灾害预警领域的技术制高点。 先来看这款S波段雷达

南航国际创新港一期交付 四大专业园区打造空天产业强磁场
科技数码 · 2026-07-03

南航国际创新港一期交付 四大专业园区打造空天产业强磁场

近日,南京航空航天大学与六合区深度合作的标杆项目——南航国际创新港一期正式交付投用。两个地块陆续启用,成功串联起高校科研能量、地方产业载体与市场创新主体,为南京打造全国领先的航空航天产业创新中心、助力江苏布局商业航天全产业链,提供了坚实的物理支撑。 该创新港一期位于六合区雄州街道,分为3号和4号两个