Ernesto r. Ageitos/Moment/Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Intisari ZDNET** Serangan yang dijuluki “Reprompt” memanfaatkan parameter URL untuk mencuri data pengguna.Cukup dengan satu klik untuk memicu seluruh rantai serangan.Penyerang dapat menarik data sensitif Copilot, bahkan setelah jendela ditutup.
Para peneliti mengungkap serangan baru yang hanya memerlukan satu klik untuk dijalankan, yang dapat melewati kontrol keamanan Microsoft Copilot dan memungkinkan pencurian data pengguna.
Juga: Cara menghapus Copilot AI dari Windows 11 sekarang
Mengenal Reprompt
Pada Rabu, Varonis Threat Labs menerbitkan riset baru yang mendokumentasikan Reprompt, metode serangan baru yang memengaruhi asisten AI Copilot milik Microsoft.
Reprompt berdampak pada Microsoft Copilot Personal dan, menurut tim tersebut, memberikan “titik masuk tak terlihat bagi aktor ancaman untuk melakukan rantai eksfiltrasi data yang sepenuhnya melewati kontrol keamaan perusahaan dan mengakses data sensitif tanpa terdeteksi — semuanya hanya dari satu klik.”
Juga: PC AI tidak laku, dan mitra PC Microsoft sedang berusaha keras
Tidak diperlukan interaksi pengguna dengan Copilot atau plugin untuk memicu serangan ini. Sebaliknya, korban harus mengklik sebuah tautan.
Setelah satu klik ini, Reprompt dapat menghindari kontrol keamanan dengan menyalahgunakan parameter URL ‘q’ untuk memasukkan perintah (prompt) dan tindakan berbahaya ke Copilot, yang berpotensi memungkinkan penyerang meminta data yang sebelumnya dikirimkan oleh pengguna — termasuk informasi pribadi (PII).
“Penyerang tetap memegang kendali bahkan ketika obrolan Copilot ditutup, memungkinkan sesi korban dieksfiltrasikan secara diam-diam tanpa interaksi apa pun selain klik pertama itu,” kata para peneliti.
Bagaimana cara kerja Reprompt?
Reprompt menggabungkan tiga teknik menjadi satu:
Parameter 2 Prompt (Suntikan P2P): Dengan mengeksploitasi parameter URL ‘q’, penyerang dapat mengisi perintah dari URL dan menyuntikkan instruksi jahat yang dirancang untuk memaksa Copilot melakukan tindakan, termasuk eksfiltrasi data.Permintaan-ganda: Meskipun Copilot memiliki pengaman yang mencegah eksfiltrasi atau kebocoran data langsung, tim menemukan bahwa mengulang permintaan untuk suatu tindakan dua kali akan memaksa tindakan itu dilakukan.Permintaan-berantai: Setelah perintah awal (yang diulang dua kali) dieksekusi, server rantai serangan Reprompt mengeluarkan instruksi dan permintaan lanjutan, seperti permintaan untuk informasi tambahan.
Menurut Varonis, metode ini sulit dideteksi karena alat pemantauan sisi pengguna dan klien tidak dapat melihatnya, serta melewati mekanisme keamanan bawaan sambil menyamarkan data yang dieksfiltrasikan.
“Copilot membocorkan data sedikit demi sedikit, memungkinkan ancaman menggunakan setiap jawaban untuk menghasilkan instruksi jahat berikutnya,” tambah tim tersebut.
Demonstrasi video proof-of-concept (PoC) tersedia.
Tanggapan Microsoft
Reprompt dilaporkan secara tertutup kepada Microsoft pada 31 Agustus 2025. Microsoft telah memperbaiki kerentanan tersebut sebelum pengungkapan publik dan mengonfirmasi bahwa pengguna perusahaan Microsoft 365 Copilot tidak terpengaruh.
Juga: Ingin Microsoft 365? Hanya saja jangan pilih Premium — inilah alasanya
“Kami menghargai Varonis Threat Labs yang melaporkan masalah ini secara bertanggung jawab,” kata juru bicara Microsoft kepada ZDNET. “Kami telah menerapkan perlindungan yang mengatasi skenario yang dijelaskan dan sedang menerapkan langkah-langkah tambahan untuk memperkuat pengamanan terhadap teknik serupa sebagai bagian dari pendekatan pertahanan berlapis kami.”
Cara tetap aman
Asisten AI — dan peramban — adalah teknologi yang relatif baru, sehingga hampir tidak ada minggu berlalu tanpa masalah keamanan, cacat desain, atau kerentanan ditemukan.
Phishing adalah salah satu vektor serangan siber yang paling umum, dan serangan khusus ini mengharuskan pengguna untuk mengklik tautan berbahaya. Jadi, garis pertahanan pertama Anda adalah berhati-hati dalam hal tautan, terutama jika Anda tidak mempercayai sumbernya.
Juga: Gemini vs. Copilot: Saya membandingkan alat AI pada 7 tugas sehari-hari, dan ada pemenang jelas
Seperti layanan digital apa pun, Anda harus berhati-hati dalam membagikan informasi sensitif atau pribadi. Untuk asisten AI seperti Copilot, Anda juga harus memeriksa perilaku tidak biasa, seperti permintaan data yang mencurigakan atau perintah aneh yang mungkin muncul.
Varonis merekomendasikan agar vendor AI dan pengguna ingat bahwa kepercayaan pada teknologi baru dapat dieksploitasi dan mengatakan bahwa “Reprompt mewakili kelas kerentanan kritis asisten AI yang lebih luas yang didorong oleh masukan eksternal.”
Oleh karena itu, tim menyarankan bahwa URL dan masukan eksternal harus diperlakukan sebagai tidak terpercaya, sehingga validasi dan kontrol keamanan harus diterapkan di sepanjang rantai proses penuh. Selain itu, pengaman harus diberlakukan untuk mengurangi risiko perantaitan perintah dan tindakan berulang, dan ini tidak boleh berhenti hanya pada perintah awal saja.