Η Varonis αποκάλυψε μια επίθεση με την ονομασία “Reprompt” που επέτρεπε, μέσω ενός και μόνο συνδέσμου, την κατάληψη (hijacking) συνεδριών του Microsoft Copilot Personal και την εξαγωγή (exfiltration) δεδομένων.
Η Microsoft διόρθωσε το θέμα με ενημέρωση ασφαλείας τον Ιανουάριο 2026.
Για μήνες, αντιμετωπίζαμε AI βοηθούς όπως το Microsoft Copilot ως ψηφιακούς «έμπιστους»: εργαλεία που μας βοηθούν να συνοψίζουμε emails, να οργανώνουμε δουλειές, ακόμη και να σχεδιάζουμε διακοπές.
Όμως, νέα έρευνα από τα Varonis Threat Labs δείχνει ότι αυτή η εμπιστοσύνη στηριζόταν σε μια εκπληκτικά εύθραυστη βάση.
Μια νέα ροή επίθεσης, με το παρατσούκλι “Reprompt”, επέτρεπε σε κακόβουλους παράγοντες να καταλαμβάνουν συνεδρίες Copilot και να αποσπούν ευαίσθητα δεδομένα “σιωπηλά”, επειδή το AI ήταν υπερβολικά πρόθυμο να ακολουθεί οδηγίες.
Σε αντίθεση με παλαιότερες επιθέσεις prompt injection, το Reprompt δεν απαιτούσε plugins, connectors ή prompts που να πληκτρολογεί ο χρήστης.
Μόλις ενεργοποιούνταν, οι επιτιθέμενοι μπορούσαν να διατηρούν τον έλεγχο της συνεδρίας χωρίς περαιτέρω αλληλεπίδραση από το θύμα.
Πως το Reprompt παρέκαμψε τις δικλείδες ασφαλείας του Copilot
Οι ερευνητές της Varonis αναφέρουν ότι η επίθεση βασίστηκε σε τρεις τεχνικές που λειτουργούσαν συνδυαστικά:
1) Parameter-to-prompt (P2P) injection
Το Copilot δέχεται prompts απευθείας από ένα URL μέσω της παραμέτρου q. Όταν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο Copilot που περιλαμβάνει αυτή την παράμετρο, το AI εκτελεί αυτόματα το ενσωματωμένο prompt.
Η Varonis εξήγησε ότι αυτή η συμπεριφορά, αν και έχει σχεδιαστεί για ευκολία, μπορεί να γίνει κατάχρηση ώστε να εκτελεστούν οδηγίες που ο χρήστης δεν σκόπευε ποτέ να δώσει.
Όπως σημείωσε η Varonis:
«Με την προσθήκη μιας συγκεκριμένης ερώτησης ή οδηγίας στην παράμετρο q, προγραμματιστές και χρήστες μπορούν να προσυμπληρώνουν αυτόματα το πεδίο εισαγωγής όταν φορτώνει η σελίδα, κάνοντας το σύστημα AI να εκτελεί το prompt άμεσα».
2) Παράκαμψη “double-request” (διπλού αιτήματος)
Το Copilot διαθέτει προστασίες για να αποτρέπεται η διαρροή ευαίσθητων δεδομένων, όμως η Varonis διαπίστωσε ότι αυτές οι δικλείδες εφαρμόζονταν μόνο στο πρώτο αίτημα.
Δίνοντας εντολή στο Copilot να επαναλαμβάνει κάθε εργασία δύο φορές, οι ερευνητές κατάφεραν να παρακάμψουν τις προστασίες στη δεύτερη προσπάθεια.
Στις δοκιμές, το Copilot αφαιρούσε ευαίσθητες πληροφορίες στο πρώτο αίτημα, αλλά τις αποκάλυπτε στο δεύτερο.
3) Εξαγωγή δεδομένων μέσω “chain-request” (αλυσίδα αιτημάτων)
Αφού εκτελούνταν το αρχικό prompt, το Copilot μπορούσε να εξαπατηθεί ώστε να συνεχίσει μια κρυφή ανταλλαγή (back-and-forth) με server που ήλεγχε ο επιτιθέμενος.
Κάθε απάντηση χρησιμοποιούνταν για να δημιουργηθεί η επόμενη οδηγία, επιτρέποντας στους attackers να εξάγουν δεδομένα σταδιακά και αόρατα.
Όπως ανέφερε η Varonis:
«Τα εργαλεία παρακολούθησης στην πλευρά του client δεν θα εντοπίσουν αυτά τα κακόβουλα prompts, επειδή οι πραγματικές διαρροές δεδομένων συμβαίνουν δυναμικά στη διάρκεια της αμφίδρομης επικοινωνίας — όχι από κάτι προφανές στο prompt που υποβάλλει ο χρήστης».
Μια συζήτηση που δεν τελειώνει ποτέ
Αυτό που κάνει το Reprompt ιδιαίτερα επικίνδυνο είναι η επιμονή (persistence). Σε αντίθεση με ένα τυπικό hack που τελειώνει όταν κλείσεις το παράθυρο, αυτή η επίθεση μετατρέπει το Copilot σε έναν «ζωντανό κατάσκοπο».
Μόλις γίνει το αρχικό κλικ, ο server του επιτιθέμενου μπορεί να αναλάβει τη συζήτηση στο παρασκήνιο.
Οι ερευνητές της Varonis σημείωσαν ότι:
«Ο επιτιθέμενος διατηρεί τον έλεγχο ακόμη και όταν το Copilot chat είναι κλειστό, επιτρέποντας η συνεδρία του θύματος να εξάγει δεδομένα σιωπηλά, χωρίς αλληλεπίδραση πέρα από το πρώτο κλικ».
Ο server του επιτιθέμενου μπορεί ουσιαστικά να “συνομιλεί” με το Copilot, κάνοντας ερωτήσεις συνέχειας όπως: «Που μένει ο χρήστης;» ή «Τι διακοπές έχει σχεδιάσει;», με βάση όσα έμαθε στην προηγούμενη πρόταση.
Επειδή αυτό συμβαίνει στην πλευρά του server, τα εργαλεία ασφαλείας του browser ενδέχεται να μην δουν τίποτα.
Διορθώθηκε, αλλά το πρόβλημα παραμένει
Η ευπάθεια εντοπίστηκε στο Microsoft Copilot Personal, το οποίο συνδέεται με καταναλωτικούς Microsoft λογαριασμούς και είναι ενσωματωμένο σε Windows και Edge.
Σύμφωνα με τους ερευνητές, οι εταιρικοί πελάτες που χρησιμοποιούν Microsoft 365 Copilot δεν επηρεάστηκαν.
Η Microsoft επιβεβαίωσε ότι το κενό ασφαλείας έχει πλέον διορθωθεί στο πλαίσιο των ενημερώσεων ασφαλείας του Ιανουαρίου 2026.
Η Varonis αναφέρει ότι το Reprompt αναδεικνύει έναν ευρύτερο και αυξανόμενο κίνδυνο: τους AI assistants που επεξεργάζονται αυτόματα μη αξιόπιστη είσοδο (untrusted input).
Η εταιρεία προειδοποίησε ότι η εμπιστοσύνη στα AI εργαλεία μπορεί να γίνει εύκολα αντικείμενο κατάχρησης, γράφοντας:
«Οι AI assistants έχουν γίνει έμπιστοι σύντροφοι, στους οποίους μοιραζόμαστε ευαίσθητες πληροφορίες, ζητάμε καθοδήγηση και βασιζόμαστε πάνω τους χωρίς δισταγμό».
Αυτή η εμπιστοσύνη, υποστηρίζουν οι ερευνητές, μετατρέπει τους AI assistants σε ισχυρούς — και επικίνδυνους — στόχους όταν αποτυγχάνουν οι έλεγχοι ασφαλείας.
Τι προτείνουν οι ειδικοί ασφάλειας
Οι ερευνητές συστήνουν:
- να εφαρμόζετε τις τελευταίες ενημερώσεις Windows
- να είστε προσεκτικοί με links που ανοίγουν AI εργαλεία ή περιέχουν προσυμπληρωμένα prompts, ακόμη κι αν φαίνονται νόμιμα
