Lỗ hổng Reprompt trong Copilot cho phép đánh cắp dữ liệu chỉ với một lần "Click"

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.504 bài viết
Lỗ hổng Reprompt trong Copilot cho phép đánh cắp dữ liệu chỉ với một lần "Click"
WhiteHat Team
Mới đây, các chuyên gia an ninh mạng đã phát hiện một lỗ hổng trong Microsoft Copilot Personal, cho phép kẻ tấn công đánh cắp dữ liệu cá nhân của người dùng chỉ bằng một cú nhấp chuột, gần như không để lại dấu vết.
1768466194780.png

Lỗ hổng được các nhà nghiên cứu của Varonis đặt tên là “Reprompt”, nhắm vào Microsoft Copilot Personal, được tích hợp trực tiếp vào Windows và Edge. Khác với Copilot doanh nghiệp (Microsoft 365 Copilot), phiên bản này gắn chặt với tài khoản Microsoft cá nhân và có quyền truy cập vào nhiều dữ liệu nhạy cảm như lịch sử trò chuyện, tệp gần đây, vị trí, thói quen sử dụng và thông tin cá nhân khác. Điểm nguy hiểm nằm ở việc Copilot Personal tự động xử lý nội dung được truyền qua tham số URL, mở ra một bề mặt tấn công hoàn toàn mới.

Các chuyên gia phát hiện rằng Copilot cho phép nhận câu lệnh (prompt) trực tiếp thông qua tham số q trong URL. Khi người dùng đang đăng nhập Copilot và nhấp vào một liên kết được tạo sẵn, Copilot sẽ tự động thực thi nội dung prompt ngay khi trang được mở mà không cần thêm bất kỳ thao tác xác nhận nào. Điều này biến một đường link trông “vô hại” thành một công cụ tấn công nguy hiểm.​

Nguyên nhân kỹ thuật: Parameter-to-Prompt Injection​

Cốt lõi của lỗ hổng nằm ở kỹ thuật Parameter-to-Prompt (P2P) Injection (một dạng tấn công mới trong hệ sinh thái AI). Thay vì chèn mã độc hay khai thác lỗi bộ nhớ như các lỗ hổng truyền thống, kẻ tấn công:​
  • Gửi email hoặc tin nhắn chứa URL Copilot hợp lệ​
  • Trong URL có tham số q chứa prompt độc hại​
  • Prompt này tự động chạy khi trang tải xong, tận dụng phiên đăng nhập hợp lệ của nạn nhân​
Đáng chú ý, phiên Copilot vẫn tiếp tục hoạt động ngay cả khi người dùng đã đóng tab, khiến việc phát hiện gần như bất khả thi.​

Chuỗi tấn công diễn ra như thế nào?​

Cuộc tấn công Reprompt không dừng lại ở một câu lệnh đơn lẻ mà được triển khai theo chuỗi nhiều giai đoạn, hoàn toàn do máy chủ của kẻ tấn công điều khiển. Quá trình này bao gồm:​
  • Khởi đầu bằng link phishing: chỉ cần nạn nhân nhấp chuột một lần.​
  • Tự động truy vấn dữ liệu cá nhân: Copilot bị “dẫn dắt” để tiết lộ tên người dùng, vị trí, thời gian, lịch sử truy cập file, chủ đề trò chuyện gần đây, thậm chí kế hoạch cá nhân.​
  • Chuỗi truy vấn liên tiếp: mỗi phản hồi của Copilot lại được dùng để tạo prompt tiếp theo, giúp kẻ tấn công thu thập dữ liệu từng bước.​
  • Né tránh cơ chế bảo vệ: Copilot chỉ kiểm soát yêu cầu đầu tiên, các yêu cầu tiếp theo được thực hiện mà không bị chặn.​
Toàn bộ quá trình diễn ra âm thầm, không hiển thị hành vi bất thường rõ ràng với người dùng.​

Mức độ nguy hiểm và rủi ro​

Mặc dù Microsoft cho biết chưa ghi nhận khai thác ngoài thực tế, nhưng giới chuyên gia đánh giá đây là lỗ hổng có mức độ nguy hiểm cao do:​
  • Không cần cài mã độc​
  • Không cần tài liệu đính kèm​
  • Không cần plugin hay quyền đặc biệt​
  • Chỉ cần một cú nhấp chuột​
Dữ liệu có thể bị lộ bao gồm:​
  • Thông tin cá nhân và thói quen sinh hoạt​
  • Kế hoạch tài chính​
  • Ghi chú y tế​
  • Lịch làm việc và nội dung trò chuyện riêng tư​
Đây đều là những dữ liệu có thể bị lạm dụng cho lừa đảo, tống tiền hoặc theo dõi cá nhân.​

Phạm vi ảnh hưởng​

  • Bị ảnh hưởng: Người dùng Copilot Personal trên Windows và Edge​
  • Không bị ảnh hưởng: Microsoft 365 Copilot dành cho doanh nghiệp, do có cơ chế kiểm soát, DLP và audit từ Purview​
Varonis đã chịu trách nhiệm công bố lỗ hổng cho Microsoft vào ngày 31/8/2025. Microsoft sau đó đã vá lỗi trong bản cập nhật Patch Tuesday ngày 13/1/2026.​

Giải pháp và khuyến nghị​

Microsoft khuyến cáo người dùng:​
  • Cập nhật Windows và Edge lên phiên bản mới nhất​
  • Cảnh giác với các liên kết Copilot được gửi qua email, chat​
  • Không chủ quan với các prompt đã được điền sẵn​
Các chuyên gia an ninh mạng cũng nhấn mạnh:​
  • AI cần được xem như một hệ thống có quyền truy cập sâu, không chỉ là chatbot​
  • Mọi đầu vào từ URL phải được coi là không đáng tin cậy​
  • Cơ chế bảo vệ cần duy trì xuyên suốt toàn bộ chuỗi hội thoại, không chỉ ở bước đầu​
Đây là hồi chuông cảnh báo cho cả người dùng lẫn các nhà phát triển AI, bảo mật không thể chỉ dừng ở giao diện hay kiểm soát bề mặt mà phải được thiết kế xuyên suốt toàn bộ chuỗi tương tác của trí tuệ nhân tạo với con người.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SQL Server đối mặt nguy cơ rò rỉ dữ liệu do lỗ hổng leo thang đặc quyền
  • Lỗ hổng OpenSSH nghiêm trọng đe dọa các switch công nghiệp Moxa
  • Patch Tuesday tháng 1/2026: Microsoft vá 114 lỗ hổng, 3 zero-day đã bị khai thác
  • Lỗ hổng trong OpenCode cho phép thực thi mã từ xa chỉ bằng một lần truy cập website
  • Fortinet vá loạt lỗ hổng thực thi mã từ xa và rò rỉ cấu hình nghiêm trọng
  • Ni8mare: Lỗ hổng nghiêm trọng khiến hơn 100.000 hệ thống n8n có nguy cơ bị chiếm quyền
    • Thẻ
    click copilot link microsoft copilot personal phishing prompt reprompt
    Bên trên