Beveiligingsonderzoekers hebben een nieuwe aanvalstechniek blootgelegd waarmee kwaadwillenden tijdelijk controle konden krijgen over Microsoft Copilot Personal. De methode, die de naam Reprompt kreeg, maakte het mogelijk om na één klik gevoelige gegevens uit een Copilot-sessie te laten uitlekken, zonder extra interactie van de gebruiker.
De aanval werd ontdekt door onderzoekers van Varonis en misbruikte de manier waarop Copilot prompts verwerkt die via een URL worden meegegeven. Microsoft werd vorig jaar op de hoogte gebracht en heeft het lek inmiddels gedicht met de Patch Tuesday-update van januari 2026.
Copilot is diep geïntegreerd in Windows, Edge en verschillende consumentenapps, en kan (afhankelijk van de rechten) toegang hebben tot gespreksgeschiedenis en bepaalde persoonlijke Microsoft-gegevens. Dat maakt het een aantrekkelijk doelwit. Bij een Reprompt-aanval wordt een ogenschijnlijk legitieme Copilot-link gebruikt waarin een verborgen prompt zit verstopt. Die prompt wordt automatisch uitgevoerd zodra de pagina opent. Klikt een gebruiker op zo’n link terwijl hij al aangemeld is bij Copilot, dan kan de aanval gebruikmaken van die bestaande sessie — zelfs nadat het Copilot-tabblad weer is gesloten.
Volgens de onderzoekers waren er geen extensies, plug-ins of extra stappen nodig. De aanval bleef bovendien grotendeels onzichtbaar voor de gebruiker.
Varonis beschrijft Reprompt als een combinatie van meerdere technieken die samen Copilots beveiligingslagen wisten te omzeilen. De kern zat in het feit dat Copilot prompts accepteert via de ‘q’-parameter in een URL. In die parameter konden aanvallers instructies injecteren die automatisch werden uitgevoerd.
Om Copilots ingebouwde beschermingen te omzeilen, werden daar nog extra stappen aan toegevoegd:
Omdat de daadwerkelijke instructies pas na de eerste stap vanaf de server van de aanvaller kwamen, konden client-side beveiligingstools moeilijk inschatten welke data precies werd buitgemaakt.
Varonis meldde het probleem al op 31 augustus 2025 aan Microsoft. Het bedrijf heeft de kwetsbaarheid nu opgelost met de beveiligingsupdates van januari 2026. Er zijn geen aanwijzingen dat Reprompt effectief misbruikt werd bij willekeurige gebruikers. Belangrijk detail: de aanval had uitsluitend betrekking op Copilot Personal. Microsoft 365 Copilot, de zakelijke variant, bleek niet kwetsbaar dankzij extra beveiligingslagen zoals tenant-brede DLP-regels, Purview-auditing en strengere beheerderscontroles.
Microsoft raadt gebruikers aan om de nieuwste Windows-updates zo snel mogelijk te installeren. Hoewel het lek inmiddels gesloten is, toont Reprompt opnieuw aan dat AI-assistenten (net omdat ze diep geïntegreerd zijn in besturingssystemen) een aantrekkelijk en complex aanvalsvlak vormen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
