Reprompt: nova tehnika napada neprimetno izvlači podatke iz AI četbotova

Vesti, 19.01.2026, 10:30 AM

Bezbednosni istraživači otkrili su novu tehniku napada koja pokazuje kako AI četbotovi mogu biti izmanipulisani da otkriju osetljive podatke uz minimalno učešće korisnika. Metod, nazvan Reprompt, pokazuje kako napadači mogu izvući informacije iz AI asistenta poput Microsoft Copilota samo jednim klikom na link koji izgleda potpuno legitimno.

Prema rečima istraživača, napad ne zahteva instalaciju malvera, dodataka u pregledaču niti kontinuiranu interakciju sa korisnikom. Nakon što žrtva klikne na link, napadač može zadržati kontrolu nad sesijom četbota čak i kada se prozor za ćaskanje zatvori, omogućavajući neprimetno „curenje“ podataka.

Problem je prijavljen Microsoftu koji je u međuvremenu ispravio ranjivost. Kompanija je potvrdila da poslovni korisnici Microsoft 365 Copilota nisu pogođeni.

Reprompt se oslanja na slabosti u dizajnu. Napadači ubacuju skrivene instrukcije direktno u Copilot veb-link, koristeći standardne parametre u URL-u. Te instrukcije su pažljivo oblikovane tako da zaobiđu zaštite koje sprečavaju direktno izvlačenje podataka, jer se pojedini bezbednosni mehanizmi primenjuju samo na početni upit.

Nakon toga, Copilot može da uspostavi kontinuiranu komunikaciju sa eksternim serverom napadača, što omogućava dugotrajno i prikriveno izvlačenje informacija.

U realnom scenariju, korisnik bi mogao da dobije imejl sa linkom koji izgleda kao običan Copilot upit. Klikom na njega, Copilot izvršava skrivene instrukcije iz URL-a. Napadač zatim može daljinski da šalje dodatne komande, podstičući četbot da sumira nedavno korišćene fajlove, izvodi zaključke o ličnim podacima ili otkrije kontekstualne informacije. Pošto se te naknadne instrukcije isporučuju dinamički, teško je utvrditi šta se tačno dešava samo na osnovu originalnog linka.

Istraživači upozoravaju da se na ovaj način Copilot praktično pretvara u nevidljiv kanal za izvlačenje podataka, bez unosa upita od strane korisnika i bez ekstenzija.

Reprompt ukazuje na širi problem velikih jezičkih modela: oni ne umeju pouzdano da razlikuju korisničke instrukcije od komandi ubačenih u nepouzdane podatke. To otvara vrata takozvanim indirektnim prompt injection napadima. Ovo otkriće dolazi u trenutku kada se pojavljuje sve više sličnih tehnika koje ciljaju AI alate.

Stručnjaci upozoravaju da prompt injection ostaje trajna i sve sofisticiranija pretnja. Preporučuju se slojevite bezbednosne mere, ograničavanje privilegija AI alata i striktna kontrola pristupa osetljivim sistemima.

Korisnicima se savetuje da ne klikću na nepoznate AI-linkove i da budu oprezni sa deljenjem poverljivih informacija u razgovorima sa četbotovima.