Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.
Laut Varonis kombiniert Reprompt mehrere Techniken: eine URL-basierte Prompt-Injection (P2P), eine „Double-request“-Umgehung, bei der Schutzmechanismen nur bei der ersten Anfrage greifen, sowie „Chain-request“, wodurch nach dem initialen Klick serverseitig weitere Befehle nachgeladen werden konnten. So ließen sich schrittweise persönliche Informationen und Chat-Kontext abfragen und an eine Angreifer-Infrastruktur übermitteln, während clientseitige Kontrollen den eigentlichen Umfang kaum erkennen konnten.
Wichtig für die Einordnung: Betroffen war laut Varonis primär Copilot Personal; Microsoft 365 Copilot in Unternehmensumgebungen soll nicht betroffen gewesen sein. Microsoft hat die Schwachstelle bestätigt und nach Angaben der Forscher inzwischen behoben.
Empfehlung: Links, die Copilot (oder andere KI-Assistenten) mit vorbefüllten Prompts öffnen, besonders kritisch behandeln, automatisch eingefügte Prompts vor dem Ausführen prüfen und verdächtige KI-Sitzungen/Links wie klassische Phishing-Indikatoren behandeln.
