Pesquisadores em segurança cibernética revelaram uma nova forma de ataque chamada Reprompt que permite a exfiltração de dados confidenciais do assistente de IA Microsoft Copilot com apenas um clique em um link malicioso — sem necessidade de instalar malware ou interagir diretamente com a IA após o clique inicial.
O ataque foi divulgado pela empresa de segurança Varonis Threat Labs, e chamou atenção por sua simplicidade operacional e pela forma como contornar mecanismos de segurança embutidos no Copilot.
- Leia Também: Google docs agora edita arquivos do word, excel e PowerPoint com senha
- Leia Também: Hackers “sequestram” comentários do LinkedIn para espalhar malware
- Leia Também: Boletim ThreatsDay: Exploração de clonagem de voz por IA, desativação de Wi-Fi, vulnerabilidades em PLCs e mais 14 notícias
Como funciona em termos práticos
A técnica Reprompt explora como o Copilot processa parâmetros em URLs — especificamente o parâmetro , que normalmente é usado para preencher automaticamente um prompt quando a página carrega.
- Um atacante envia um link aparentemente legítimo do Copilot via e-mail ou mensagem.
- Quando a vítima clica nesse link, o que injeta comandos que instruem o Copilot a iniciar uma cadeia de prompts maliciosos.
- A IA começa a executar esses prompts sem alertar o usuário, extraindo dados sensíveis como histórico de conversa, detalhes pessoais e outros.
E o mais preocupante: a exfiltração de dados continua mesmo depois que o usuário fecha o chat do Copilot — desde que a sessão ainda esteja ativa.
Clique aqui e teste por 30 dias grátis nossos serviços
Por que esse ataque passa despercebido
O ataque Reprompt é considerado perigoso por algumas características técnicas:
Um clique é tudo que é preciso
O usuário não precisa digitar nada nem executar qualquer ação além de abrir um link.
Não há malware tradicional
Não é necessário instalar nenhum programa malicioso — tudo ocorre via interação com o Copilot usando URLs.
Bypass de segurança nativa
Os mecanismos do Copilot que deveriam bloquear respostas sensíveis só afetam a primeira requisição do prompt — o ataque explora isso repetindo comandos para driblar as restrições.
Difícil de detectar
Ferramentas tradicionais de monitoramento de endpoint podem não perceber atividade maliciosa porque o Copilot age dentro de um contexto aparentemente “normal”.
Impacto sobre usuários e empresas
Embora essa vulnerabilidade tenha sido identificada em Copilot Personal (versão para consumidores), a pesquisa mostra o quanto é fácil abusar de assistentes de IA e transformar uma ferramenta útil em um vetor de ataque.
Alguns dos riscos incluem:
-Vazamento de dados pessoais e empresariais
-Acesso não autorizado a informações sensíveis
-Possíveis ataques posteriores baseados nas informações extraídas
A descoberta destaca como assistentes de IA, agora integrados em ambientes corporativos e pessoais, são tanto uma ferramenta poderosa quanto um potencial ponto fraco se não implementados com controles adequados.
Como o Reprompt explora o Copilot
Segundo os pesquisadores, o ataque combina três técnicas principais:
1. Injeção de Parâmetro para Prompt (P2P Injection)
Explora o parâmetro q para inserir instruções diretamente no Copilot.
2. Double Request (Duplicação de requisição)
O Copilot aplica filtragem apenas na primeira requisição — repetindo a mesma ação abre a porta para vazamentos.
3. Chain-Request (Requisição encadeada)
Após o primeiro passo, comandos subsequentes são enviados a partir de um servidor de comando e controle, permitindo continuar a exfiltrar dados.
Esse encadeamento torna a cadeia de exfiltração praticamente invisível e escalável — mesmo após a aba ser fechada.
O que a Microsoft fez
Após a descoberta, a Microsoft publicou um patch de segurança em seu ciclo de atualizações de janeiro de 2026 para corrigir essa falha no Copilot Personal.
Apesar disso, o incidente evidencia que, mesmo grandes fornecedores precisam reforçar mecanismos de detecção e filtragem em sistemas de IA — principalmente ao lidar com dados sensíveis.
Boas práticas para prevenir ataques semelhantes
Embora o Reprompt já tenha sido mitigado, ameaças semelhantes continuam emergindo:
Atualize sempre seu sistema e ferramentas
Mantenha o Windows e o Copilot atualizados com os últimos patches.
Educação contra phishing
Treine usuários para identificar e evitar clicar em links suspeitos.
Monitoramento avançado de segurança
Ferramentas de detecção de anomalias e inspeção de sessão podem identificar atividades anormais.
Revisão de URLs antes de clicar
Especialmente se vierem de fontes desconhecidas ou inesperadas.
Atenção ao Uso de IA
O ataque Reprompt demonstra que as vulnerabilidades em assistentes de IA ainda são um campo crítico de risco, capaz de permitir a exfiltração de dados sensíveis com o mínimo de interação do usuário.
Adotar boas práticas de cibersegurança, manter sistemas atualizados e tratar links e solicitações de prompt com desconfiança é essencial para reduzir a exposição.
Segurança de Infraestrutura Web é Fundamental
Ferramentas como o Microsoft Copilot são convenientes, mas dependem de um ambiente digital seguro e sólido.
Se você quer garantir que seu site, dados e aplicações estejam protegidos com infraestrutura robusta e sempre disponível, considere se hospedar com quem entende de performance, segurança e confiabilidade.
