⭐ נקודות עיקריות
- חוקרי האבטחה של Varonis חשפו את Reprompt, פרצת אבטחה ב-Copilot של מיקרוסופט המאפשרת גניבת מידע רגיש.
- שיטת התקיפה מתבססת על הזרקת פקודות דרך כתובת ה-URL ומשתמשת בטכניקות עקיפה מתוחכמות כדי לפעול ברקע ללא ידיעת המשתמש.
- מיקרוסופט תיקנה את הפרצה באופן מלא ב-13 בינואר 2026, ולקוחות ארגוניים (Microsoft 365 Copilot) לא הושפעו מהאירוע.
חברת האבטחה Varonis הישראלית חשפה פרצת אבטחה חמורה ב-Copilot של מיקרוסופט (Microsoft).
המתקפה, שזכתה לשם Reprompt, אפשרה לגורמים עוינים ליצור נתיב בלתי נראה להוצאת מידע מתוך חשבון ה-Copilot המשתמש, תוך עקיפת מנגנוני ההגנה של הארגון ושל הכלי עצמו.
הייחוד של מתקפת Reprompt טמון בפשטות ההפעלה שלה עבור הקורבן: לחיצה בודדת על קישור לגיטימי למראה מספיקה כדי להפעיל את שרשרת התקיפה.
בניגוד לפרצות אחרות הדורשות התקנת תוספים או אינטראקציה ממושכת, כאן התוקף יכול לשמור על שליטה גם לאחר שהמשתמש סגר את חלונית הצ’אט, ולהמשיך לשאוב מידע באופן שקט.
מנגנון התקיפה והטכנולוגיה
המתקפה מבוססת על ניצול פרמטר ה-‘q’ בכתובת ה-URL של Copilot, המיועד במקור להעברת שאילתות אוטומטיות.
החוקרים זיהו כי ניתן להזריק הוראות זדוניות ישירות דרך שורת הכתובת (בטכניקת P2P Injection), ובכך לגרום למודל הבינה המלאכותית לבצע פעולות רגישות מיד עם טעינת הדף.
כדי להתגבר על מנגנוני הבטיחות של מיקרוסופט, התוקפים פיתחו שתי טכניקות מרכזיות. הראשונה היא “הבקשה הכפולה” (Double-request): מכיוון שמנגנוני ההגנה של Copilot בדקו בעיקר את הבקשה הראשונית, התוקפים הנחו את המודל לבצע כל פעולה פעמיים, כאשר הפעם השנייה עקפה לעיתים קרובות את הסינון.
הטכניקה השנייה מכונה “בקשת שרשרת” (Chain-request). היא מאפשרת תקשורת מתמשכת בין ה-Copilot לבין שרת הנשלט על ידי התוקף.
לאחר ההפעלה הראשונית, השרת של התוקף שולח הוראות המשך המבוססות על התשובות הקודמות של המודל. כך נוצרת אינטראקציה דינמית המוסתרת מכלי ניטור בצד הלקוח, שכן הפקודות הממשיות אינן מופיעות בבקשה הראשונית שהמשתמש שלח.
גודל הסיכון והמידע החשוף
באמצעות ניצול הפרצה, תוקפים יכלו לבקש מהמודל מגוון רחב של פרטים אישיים ורגישים. בין הדוגמאות שנבדקו: סיכום של כל הקבצים אליהם ניגש המשתמש באותו יום, איתור כתובת המגורים של המשתמש, או פירוט על חופשות מתוכננות מתוך המידע הקיים בחשבון.
הפרצה הוגדרה כחמורה במיוחד מכיוון שהיא אינה דורשת קלט ישיר מהמשתמש (Zero-input prompt) ולא מחייבת הפעלת מחברים (Connectors) או תוספים חיצוניים.
היא שונה מפרצות קודמות בתחום ה-AI בכך שהיא מסתמכת על פונקציונליות בסיסית של הפלטפורמה ולא על כשלים באינטגרציות צד שלישי.
תיקון וזמינות
חוקרי Varonis דיווחו על פרצת ה-Reprompt למיקרוסופט באוגוסט 2025, כאשר הפרצה תוקנה סופית ב-13 בינואר 2026.
מיקרוסופט הדגישה בנוסף כי לקוחות הגרסה הארגונית של Copilot לא היו חשופים לפרצה זו.
