Искусственные помощники, такие как Microsoft Copilot, предназначены для упрощения работы и повышения продуктивности. Они помогают составлять письма, подводить итоги документов и отвечать на вопросы, используя данные из вашего аккаунта. Однако специалисты по безопасности предупреждают, что одна неправильная ссылка может незаметно превратить удобство в угрозу для вашей личной информации.
Обнаруженная новая угроза: метод атаки «Reprompt»
Исследователи безопасности из компании Varonis выявили новую технику, получившую название «Reprompt». Она показывает, как злоумышленники могут внедрять скрытые инструкции в обычные ссылки на Copilot, заставляя ИИ выполнять вредоносные действия без вашего ведома.
Что именно угрожает пользователям?
Microsoft Copilot связан с вашим аккаунтом Microsoft и имеет доступ к истории диалогов, запросам и личным данным, привязанным к вашему профилю. В нормальных условиях система защищает эти данные от утечек, однако техника «Reprompt» обходит эти механизмы защиты.
Как осуществляется атака?
- Один клик — и всё начинается. Открывая специально подготовленную ссылку через электронную почту или сообщение, вы активируете скрытые инструкции внутри нее.
- Отсутствие предупреждений. Не требуется установки программ, всплывающих окон или уведомлений — всё происходит незаметно.
- Длительная активность. После открытия ссылка остается активной, и даже закрытие вкладки не прекращает выполнение вредоносных команд, так как сессия продолжает работать некоторое время.
Технические детали атаки
Исследователи обнаружили, что параметры в URL-адресе Copilot позволяют злоумышленникам вставлять в них вредоносные команды. После загрузки страницы эти инструкции автоматически активируются. Кроме того, злоумышленники используют несколько методов для обхода защитных мер системы:
- Внедрение инструкций через ссылку. Это позволяет AI читать и выполнять команды, которые обычно блокируются.
- Двойная проверка («try twice»). Copilot сначала применяет более строгие проверки, но повторное выполнение команды позволяет обходить эти ограничения.
- Дистанционное управление. Злоумышленники могут продолжать отправлять последующие инструкции, получая и отправляя данные внутри сессии, без вашего ведома.
Реакция Microsoft и меры защиты
Компания Microsoft своевременно исправила уязвимость в январских обновлениях 2026 года после уведомления о проблеме. На данный момент не зафиксировано случаев реальных атак с использованием метода «Reprompt». Тем не менее, данное исследование подчеркивает важность осведомленности о рисках использования AI-инструментов.
Особенности защиты и рекомендации
- Обновляйте системы своевременно. Автоматические обновления Windows, браузеров и приложений закрывают известные уязвимости.
- Будьте осторожны с подозрительными ссылками. Не переходите по неизвестным или неожиданных ссылкам, даже если они выглядят официально.
- Используйте менеджеры паролей. Надежные пароли и уникальные комбинации защитят ваши аккаунты при возможных утечках.
- Проверяйте активность аккаунта. Регулярно просматривайте историю входов и подключенные устройства, чтобы выявить подозрительную активность.
- Настраивайте параметры доступа. Ограничьте права AI-ассистентов, задавая узкоспециализированные задачи, избегая широких разрешений.
Дополнительные меры предосторожности
Используйте двухфакторную аутентификацию (2FA), чтобы усилить защиту аккаунтов даже при утечке паролей. Также рекомендуется минимизировать объем персональных данных, доступных в интернете, чтобы снизить потенциальный ущерб в случае атаки.
Общие рекомендации по безопасности
- Проверяйте активность аккаунта. Внимательно просматривайте входы и отключайте неизвестные устройства.
- Лимитируйте права AI. Не предоставляйте ассистентам слишком широкие полномочия.
- Устанавливайте антивирусное ПО. Современные антивирусы обнаруживают фишинговые ссылки и вредоносные скрипты, что особенно важно при использовании AI-инструментов.
Заключение
Несмотря на исправление уязвимости, важно соблюдать меры предосторожности: обновляйте ПО, избегайте подозрительных ссылок и следите за активностью аккаунтов. В условиях растущей автоматизации и использования AI-ассистентов уровень доверия к этим системам должен сочетаться с бдительностью и вниманием к безопасности.
Ярослав Конощук
Начинал в 2006-м редактором на ленте новостей сайта E-NEWS. С 2012-го перешел работать «в поля». Парламентский корреспондент трех созывов. Сотрудничал с различными интернет-изданиями и информационными агентствами.