간단한 링크를 통해 해커가 Copilot의 보안 가드레일을 우회할 수 있었던 방법과 Microsoft가 이에 대해 수행한 조치

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.

ZDNET의 주요 시사점

• "Reprompt"라고 명명된 이 공격은 URL 매개변수를 사용하여 사용자 데이터를 훔쳤습니다.
• 한 번의 클릭만으로 전체 공격 체인을 트리거할 수 있었습니다.
• 공격자는 창이 닫힌 후에도 민감한 Copilot 데이터를 가져올 수 있습니다.

연구원들은 단 한 번의 클릭만으로 실행이 가능하고 Microsoft Copilot 보안 제어를 우회하고 사용자 데이터를 훔칠 수 있는 새로운 공격을 공개했습니다.

또한: 지금 Windows 11에서 Copilot AI를 제거하는 방법

질책을 만나다

수요일, Varonis Threat Labs는 Microsoft의 Copilot AI 보조원에 영향을 미치는 새로운 공격 방법인 Reprompt를 문서화한 새로운 연구를 발표했습니다.

Reprompt는 Microsoft Copilot Personal에 영향을 미쳤으며 팀에 따르면 위협 ​​행위자에게 "한 번의 클릭으로 기업 보안 제어를 완전히 우회하고 탐지 없이 민감한 데이터에 액세스하는 데이터 유출 체인을 수행할 수 있는 보이지 않는 진입점"을 제공했습니다.

또한: AI PC는 팔리지 않고, 마이크로소프트의 PC 파트너들은 앞다퉈 나서고 있다.

이 공격이 실행되기 위해서는 Copilot 또는 플러그인과의 사용자 상호 작용이 필요하지 않았습니다. 대신 피해자는 링크를 클릭해야 했습니다.

이 한 번의 클릭 후에 Reprompt는 'q' URL 매개 변수를 남용하여 Copilot에 프롬프트 및 악의적인 작업을 제공함으로써 보안 제어를 우회할 수 있으며, 잠재적으로 공격자는 개인 식별 정보(PII)를 포함하여 사용자가 이전에 제출한 데이터를 요청할 수 있습니다.

연구원들은 "공격자는 Copilot 채팅이 닫혀 있어도 제어권을 유지하므로 첫 번째 클릭 이후에는 상호 작용 없이 피해자의 세션이 자동으로 유출될 수 있습니다"라고 말했습니다.

Reprompt는 어떻게 작동했나요?

Reprompt는 세 가지 기술을 함께 연결했습니다.

• 매개변수 2 프롬프트(P2P 주입): 공격자는 'q' URL 매개 변수를 악용하여 URL에서 프롬프트를 작성하고 Copilot이 데이터 유출을 포함한 작업을 수행하도록 하는 조작된 악성 지침을 주입할 수 있습니다.
• 이중 요청: Copilot에는 직접적인 데이터 유출이나 유출을 방지하는 보호 장치가 있었지만 팀은 작업 요청을 두 번 반복하면 해당 작업이 강제로 수행된다는 사실을 발견했습니다.
• 체인 요청: 초기 프롬프트(2회 반복)가 실행되면 Reprompt 공격 체인 서버는 추가 정보를 요구하는 등의 후속 지시 및 요청을 발행했습니다.

Varonis에 따르면 이 방법은 사용자 및 클라이언트 측 모니터링 도구가 이를 볼 수 없기 때문에 탐지하기 어려웠으며, 유출되는 데이터를 위장하면서 내장된 보안 메커니즘을 우회했습니다.

연구팀은 “코파일럿은 데이터를 조금씩 유출해 위협이 각 답변을 이용해 다음 악성 지시를 생성할 수 있도록 해준다”고 덧붙였다.

PoC(개념 증명) 비디오 데모를 볼 수 있습니다.

마이크로소프트의 대응

Reprompt는 2025년 8월 31일에 Microsoft에 조용히 공개되었습니다. Microsoft는 공개되기 전에 취약점을 패치하고 Microsoft 365 Copilot의 기업 사용자가 영향을 받지 않음을 확인했습니다.

또한: Microsoft 365를 원하시나요? 프리미엄을 선택하지 마세요. 이유는 다음과 같습니다.

Microsoft 대변인은 ZDNET에 "이 문제를 책임감 있게 보고한 Varonis Threat Labs에 감사드립니다"라고 말했습니다. "우리는 설명된 시나리오를 해결하는 보호 기능을 출시했으며 심층 방어 접근 방식의 일환으로 유사한 기술에 대한 보호 장치를 강화하기 위한 추가 조치를 구현하고 있습니다."

안전을 유지하는 방법

AI 비서와 브라우저는 상대적으로 새로운 기술이므로 보안 문제, 설계 결함 또는 취약점이 발견되지 않고는 거의 일주일이 지나지 않았습니다.

피싱은 사이버 공격의 가장 일반적인 벡터 중 하나이며, 이 특정 공격을 위해서는 사용자가 악성 링크를 클릭해야 했습니다. 따라서 첫 번째 방어선은 링크에 관해 신중해야 하며, 특히 출처를 신뢰하지 않는 경우 더욱 그렇습니다.

또한: Gemini vs. Copilot: 7가지 일상 작업에 대해 AI 도구를 비교했는데 확실한 승자가 있었습니다.

모든 디지털 서비스와 마찬가지로 민감한 정보나 개인 정보를 공유할 때 주의해야 합니다. Copilot과 같은 AI 비서의 경우 의심스러운 데이터 요청이나 나타날 수 있는 이상한 프롬프트 등 비정상적인 동작도 확인해야 합니다.

Varonis는 AI 공급업체와 사용자에게 새로운 기술에 대한 신뢰가 악용될 수 있다는 점을 기억할 것을 권장했으며 "Reprompt는 외부 입력에 의해 발생하는 더 광범위한 종류의 중요한 AI 보조 취약점을 나타냅니다."라고 말했습니다.

따라서 팀에서는 URL 및 외부 입력을 신뢰할 수 없는 것으로 처리해야 하며 전체 프로세스 체인에 걸쳐 검증 및 안전 제어를 구현해야 한다고 제안했습니다. 또한 즉각적인 연결과 반복적인 행동의 위험을 줄이는 안전 장치가 마련되어야 하며 이는 단지 초기 프롬프트에서 끝나서는 안 됩니다.