文章总结： 微软CopilotPersonal曝出一键式漏洞Reprompt攻击，攻击者通过URL参数注入利用受害者会话静默窃取敏感数据。该技术通过双重请求和链式请求绕过防护，微软已发布修复。建议用户立即更新系统，警惕预填充链接，组织应将AI输入视为不可信并加强审计。 综合评分： 87 文章分类： 漏洞分析,AI安全,漏洞预警,数据安全,安全意识

【安全圈】微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据

安全圈

2026年1月15日 19:01 江苏

关键词

漏洞

研究人员发现针对微软Copilot Personal的新型一键式攻击，攻击者可通过该漏洞静默窃取用户敏感数据。该漏洞现已被修复，此前威胁分子可通过钓鱼链接劫持会话而无需进一步交互。

攻击原理：参数注入实现会话劫持

攻击者通过发送包含恶意”q”参数的Copilot合法URL钓鱼邮件发起Reprompt攻击，该参数会在页面加载时自动执行预设指令。这种”参数转指令”（P2P）注入技术利用受害者已认证的会话（即使关闭标签页仍持续有效），可查询用户名、地理位置、文件访问记录和休假计划等个人信息。

攻击链随后采用服务器驱动的后续操作，随着指令动态展开规避客户端检测。

攻击链示意图（来源：Varonis）

三大核心技术突破防护机制

Varonis详细披露了突破Copilot防护机制的三大核心技术，这些防护原本用于阻止URL获取和数据泄露：

| 技术手段 | 工作原理 | 绕过方式 | | — | — | — | | 参数转指令(P2P) | 通过”q”参数注入指令自动填充并执行，窃取会话记忆或数据 | 要求”双重检查…每个函数调用两次”，在第二次尝试时暴露类似”HELLOWORLD1234!”的密钥 | | 双重请求 | Copilot的防泄露机制仅作用于初始请求 | 服务器根据响应生成连续指令，通过分阶段URL实现从用户名获取到时间、位置、用户信息摘要及会话主题的无限泄露链 | | 链式请求 | 服务器根据响应生成连续指令 | 通过分阶段URL实现从用户名获取到时间、位置、用户信息摘要及会话主题的无限泄露链 |

这些技术使数据窃取难以察觉，看似无害的指令背后信息正逐步泄露至攻击者服务器。

泄露的敏感数据类型（来源：Varonis）

影响范围与修复情况

Reprompt攻击针对集成在Windows和Edge中的Copilot Personal消费者版本，可获取指令记录、历史记录及微软数据（如近期文件或地理位置）。使用Microsoft 365 Copilot的企业用户不受影响，因其具备Purview审计、租户DLP和管理控制等防护措施。

虽然尚未发现实际攻击案例，但通过电子邮件或聊天的一键式攻击低门槛特性，仍对财务计划、医疗笔记等数据构成风险。Varonis于2025年8月31日向微软负贵披露该问题，微软在2026年1月13日的”补丁星期二”发布了修复程序。用户应立即安装最新Windows更新以彻底阻断攻击。

行业警示与防护建议

与此前EchoLeak（CVE-2025-32711）等漏洞不同，Reprompt攻击无需文档或插件即可实施，凸显了AI平台中URL参数的风险。各组织应将AI的URL输入视为不可信来源，并对链式指令实施持续防护。Copilot Personal用户应警惕预填充指令，避免点击不可信链接，并监控异常数据请求行为。

安全专家呼吁微软等厂商深度审计外部输入，在AI应用场景中预设内部级访问控制，以预防类似攻击链。

END

阅读推荐

【安全圈】男子 3 个月内 25 次入侵美国最高法院电子文件系统，将出庭认罪

【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用

【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥

【安全圈】河南省考报名系统高峰时段崩溃

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据》