Nieuw aanvalsoppervlak: AI-assistenten lekken ongemerkt data
Eén klik is genoeg
Onderzoekers ontdekten een nieuwe aanvalstechniek: de Reprompt-aanval. Deze aanval misbruikt de manier waarop AI-assistenten zoals Microsoft Copilot omgaan met gebruikersinvoer via URL’s. Met een speciaal samengestelde link, waarin verborgen instructies zijn verwerkt, kan een aanvaller Copilot opdrachten laten uitvoeren. Volgens security onderzoeker Dolev Taler van Varonis is daarvoor slechts één klik van de gebruiker nodig. Verdere interactie blijft uit en de gebruiker merkt niks.
Misbruik van URL-invoer
Hoe ontstaat deze kwetsbaarheid? Copilot onderscheidt bepaalde invoer uit URL-parameters onvoldoende van legitieme gebruikersopdrachten. Daardoor kan een aanvaller de AI-assistent onzichtbaar nieuwe taken laten uitvoeren. Zelfs nadat de gebruiker de Copilot-interface heeft gesloten, blijft de aanval actief. De verborgen instructies zijn gericht op het verzamelen en doorspelen van gevoelige informatie uit de lopende sessie, zoals contextgegevens en andere beschikbare data. Dit wil je natuurlijk ten aller tijden verkomen.
Nauwelijks zichtbaar voor gebruikers en security tools
De impact is groot, omdat de aanval nauwelijks zichtbaar is voor gebruikers en beveiligingssystemen. Traditionele beveiligingsmaatregelen, zoals contentfilters en gebruikersbevestigingen, worden effectief omzeild.
Patch beschikbaar, risico blijft relevant
Microsoft is door de onderzoekers geïnformeerd en heeft het probleem inmiddels verholpen. Zakelijke Microsoft 365 Copilot-omgevingen bleken niet kwetsbaar. Toch laat deze aanval zien dat AI-assistenten een nieuw en complex aanvalsoppervlak vormen, met serieuze risico’s voor privacy, compliance en informatiebeveiliging.
Hoe kun je dit risico inperken of helemaal voorkomen?
- Beperk de toegang van AI-assistenten zoals Copilot tot strikt noodzakelijke gegevens (least privilege).
- Train gebruikers om niet te klikken op onbekende of onverwachte links.
- Implementeer logging en monitoring op AI-interacties, inclusief onverwachte vervolgacties en uitgaande communicatie.
- Zorg dat gebruikers begrijpen hoe prompt-injectie en indirecte AI-aanvallen werken.
- Neem AI-assistenten expliciet op in risicoanalyses, pentesten en het securitybeleid.
Altijd een stap voor op cyberdreigingen in jouw branche?
Praat met een van onze security advisors of ontdek onze consultancydiensten.
