Copilot мог сливать ваши данные одним кликом! 😱!

Так, народ, тут такая тема, что Microsoft Copilot, этот ваш умный помощник, мог стать настоящей дырой в безопасности. 🤯 Исследователи из Varonis Threat Labs нарыли уязвимость, которую назвали "Reprompt".

Пошаговый разбор того, как работает атака Reprompt. (Изображение: Varonis Threat Labs)

Чего она делала? По сути, давала злоумышленникам "невидимую точку входа", чтобы незаметно вытаскивать ваши данные. И всё это – одним кликом! 😱 Представьте: вы кликаете на ссылку, а потом, даже если Copilot закрыт, хакер может запросить информацию о вас, например: "Какие файлы пользователь просматривал сегодня?" или "Где находится пользователь?". Эти данные потом уходят прямо ему на сервер.

Чем это круче других подобных эксплойтов, так это тем, что здесь требовался всего один клик. Никаких дополнительных действий, ничего. Просто открыл фишинговую ссылку, и всё – данные могут улететь.

Как это вообще работало? Через "q parameter" в URL. Эти параметры позволяют передавать запросы или команды в AI-платформы. Злоумышленники просто подставляли свой "вопрос" в этот параметр, который заставлял Copilot отправить данные на их сервер. Да, Copilot по умолчанию такие запросы отклонял, но у Varonis получилось так его "обмануть", что он обошел свои же защиты.

Хорошая новость в том, что эту уязвимость обнаружили еще в августе 2025 года, и Microsoft уже всё пофиксила в январе 2026-го. Так что сейчас вы в безопасности. 💪

Но помните, AI – это не супергерой без уязвимостей. Это, скорее всего, не последний такой случай. Всегда будьте начеку, что вы рассказываете AI, и особенно – куда кликаете. ☝️

Вот такая история с Microsoft Copilot. Одноразовый клик мог привести к утечке данных, но Microsoft оперативно исправила уязвимость. Важно помнить о безопасности при использовании AI-инструментов и быть осторожным с фишинговыми ссылками.