セキュリティ企業Varonis Threat Labsは、Microsoft Copilotに深刻な脆弱性「Reprompt」を発見したと発表しました。この脆弱性により、攻撃者は単一のリンククリックでユーザーのCopilotセッションを乗っ取り、機密データを外部に流出させることが可能でした。2025年8月にMicrosoftへ報告され、2026年1月13日のパッチで修正済みです。
Reprompt攻撃の仕組みは、CopilotがURLパラメータ「q」経由でプロンプトを受け付け、ページ読み込み時に自動実行する点を悪用したものです。通常、Copilotには直接的なデータ漏洩を防ぐセーフガードがありますが、これは初回リクエストにのみ適用されます。攻撃者が「各アクションを2回繰り返せ」と指示することで、このガードレールを回避できてしまいました。
Hacker Newsでは「URLパラメータ経由のプロンプトインジェクションという新しい攻撃ベクトル」との分析がなされ、X上では「Microsoft 365 Copilotの企業顧客は追加の保護があるが、個人ユーザーへの影響は深刻」との指摘が出ています。重要なのは、この攻撃にはプラグインやコネクタの有効化が不要で、クライアント側ツールでは検知できない点です。AIアシスタントのセキュリティ設計の難しさを浮き彫りにした事例といえます。