Desenvolvedores chegaram a um novo método de ataque, nomeado como "Reprompt", que se aproveita de um parâmetro URL para roubar dados de usuários. Com um único clique, toda a cadeia de ataque era iniciada. Os invasores podiam acessar informações sensíveis do Copilot, mesmo depois que a janela do aplicativo era fechada.
Na quarta-feira, o Varonis Threat Labs divulgou uma pesquisa detalhando esse novo método de ataque, que impactou o assistente de IA da Microsoft, o Copilot. O Reprompt proporcionou uma "entrada invisível para que atores mal-intencionados realizassem uma cadeia de exfiltração de dados, ignorando totalmente os controles de segurança corporativos e acessando dados sensíveis sem serem detectados — tudo com um clique".
Para que o ataque fosse executado, os usuários não precisavam interagir com o Copilot ou seus plugins. O que era necessário era apenas um clique em um link. Após essa ação, o Reprompt conseguia contornar os mecanismos de segurança ao explorar o parâmetro URL ‘q’, alimentando um comando malicioso ao Copilot. Isso possibilitava que o invasor solicitasse dados previamente enviados pelo usuário, incluindo informações pessoais identificáveis. "O atacante mantém o controle mesmo quando a conversa com o Copilot é encerrada, permitindo a exfiltração silenciosa da sessão da vítima sem qualquer interação além daquele primeiro clique", explicaram os pesquisadores.
O funcionamento do Reprompt envolveu uma combinação de três técnicas:
- Injeção de Parâmetro 2 (P2P injection): Ao explorar o parâmetro URL ‘q’, um invasor poderia preencher um comando a partir de uma URL e injetar instruções maliciosas que forçavam o Copilot a realizar ações, como a exfiltração de dados.
- Repetição de solicitação: Embora o Copilot possuísse proteções contra exfiltração de dados, a equipe descobriu que repetir a solicitação de uma ação duas vezes forçava sua execução.
- Solicitação em cadeia: Após a execução do primeiro comando (repetido duas vezes), o servidor da cadeia de ataque Reprompt emitia instruções e solicitações adicionais, exigindo mais informações.
De acordo com o Varonis, essa abordagem era difícil de detectar, pois as ferramentas de monitoramento de usuário e cliente não conseguiam enxergá-la. Além disso, ela burlava os mecanismos de segurança embutidos, disfarçando os dados que estavam sendo exfiltrados. "O Copilot vaza os dados gradualmente, permitindo que a ameaça utilize cada resposta para gerar a próxima instrução maliciosa", acrescentou a equipe.
A vulnerabilidade do Reprompt foi informada silenciosamente à Microsoft em 31 de agosto de 2025. Antes de ser divulgada publicamente, a Microsoft corrigiu a falha e garantiu que os usuários corporativos do Microsoft 365 Copilot não foram afetados. "Agradecemos à Varonis Threat Labs por reportar essa questão de forma responsável", afirmou um porta-voz da Microsoft. "Implementamos proteções que abordaram o cenário descrito e estamos implementando medidas adicionais para reforçar as salvaguardas contra técnicas semelhantes como parte de nossa abordagem de defesa em profundidade."
AI assistentes e navegadores são tecnologias relativamente novas, e raramente passa uma semana sem a descoberta de questões de segurança, falhas de design ou vulnerabilidades. O phishing é um dos vetores mais comuns para ciberataques, e esse ataque específico dependia de o usuário clicar em um link malicioso. Portanto, a primeira linha de defesa é ter cautela ao lidar com links, especialmente se a origem não for confiável.
Assim como em qualquer serviço digital, é prudente ter cuidado ao compartilhar informações sensíveis ou pessoais. Para assistentes de IA como o Copilot, é essencial também ficar atento a comportamentos incomuns, como solicitações de dados suspeitas ou comandos estranhos que possam aparecer. O Varonis recomendou que os fornecedores de IA e os usuários tenham ciência de que a confiança em novas tecnologias poderia ser explorada, afirmando que "Reprompt representa uma classe mais ampla de vulnerabilidades críticas em assistentes de IA impulsionadas por entradas externas." Portanto, a equipe sugeriu que URL e entradas externas sejam tratadas como não confiáveis e que mecanismos de validação e segurança sejam implementados durante todo o processo. Adicionalmente, salvaguardas devem ser implementadas para reduzir o risco de encadeamento de comandos e ações repetidas, não se limitando apenas ao comando inicial.
Referência: ZDNET
Posts relacionados:
Como agentes de IA auxiliam hackers a roubar seus dados confidenciais – e o que fazer a respeito
NotebookLM permite compartilhar seus cadernos com qualquer pessoa através de um único link. Veja como.
IA impulsiona ações de software enquanto outras ficam para trás – quem são os vencedores e perdedores e por quê
Copilot da Microsoft para jogos é lançado em beta – veja como testar no seu celular.
