Peneliti keamanan siber mengungkap sebuah metode serangan baru bernama Reprompt yang memungkinkan penyerang membajak sesi Microsoft Copilot dan memerintahkannya untuk mengeksekusi instruksi berbahaya, termasuk mengekstraksi data sensitif, hanya dengan satu kali klik dari korban.
Serangan ini tidak memerlukan plugin tambahan, ekstensi berbahaya, atau interaksi lanjutan dari pengguna. Dengan menyembunyikan prompt berbahaya di dalam URL yang terlihat sah, pelaku dapat mempertahankan akses ke sesi Copilot korban bahkan setelah tab Copilot ditutup.
Mengapa Reprompt Berbahaya
Copilot terintegrasi langsung ke Windows, browser Edge, dan berbagai aplikasi konsumen, serta terhubung ke akun Microsoft pribadi. Dalam konteks tertentu, Copilot dapat mengakses riwayat percakapan, prompt pengguna, dan data personal yang diizinkan oleh sesi aktif.
Dengan memanfaatkan kondisi ini, Reprompt membuka celah serius karena:
- Hanya membutuhkan satu klik pada tautan yang tampak legit
- Eksfiltrasi data dapat berlangsung tanpa terlihat
- Instruksi lanjutan dikendalikan sepenuhnya dari server penyerang
Cara Kerja Serangan Reprompt
Metode ini ditemukan oleh peneliti dari Varonis, yang menjelaskan bahwa Reprompt mengombinasikan beberapa teknik untuk menembus perlindungan Copilot.
Serangan dimulai dengan tautan Copilot yang sah, namun di dalam URL tersebut terdapat parameter tersembunyi yang memuat instruksi berbahaya. Ketika korban mengklik tautan tersebut, Copilot akan langsung mengeksekusi perintah tanpa peringatan tambahan.
Varonis mengidentifikasi tiga teknik utama yang digunakan dalam Reprompt:
1. Parameter-to-Prompt (P2P) Injection
Copilot menerima prompt dari parameter q di URL dan langsung menjalankannya saat halaman dimuat. Ini memungkinkan penyerang menyuntikkan instruksi yang memerintahkan Copilot membaca atau memproses data tertentu.
2. Double-Request Technique
Perlindungan Copilot terhadap kebocoran data hanya diterapkan pada permintaan pertama. Dengan memerintahkan Copilot untuk “mencoba lagi” atau menjalankan fungsi dua kali, respons kedua dapat melewati guardrail dan mengungkap informasi yang sebelumnya diblokir.
3. Chain-Request Technique
Copilot diarahkan untuk terus menerima instruksi lanjutan dari server penyerang. Setiap respons digunakan untuk membentuk permintaan berikutnya, sehingga tercipta aliran komunikasi berkelanjutan yang memungkinkan eksfiltrasi data secara diam-diam.
Karena instruksi utama dikirim setelah klik awal dari server eksternal, alat keamanan sisi klien hampir tidak dapat mendeteksi data apa yang sedang dicuri.
Sudah Ditambal oleh Microsoft
Kerentanan Reprompt telah dilaporkan secara bertanggung jawab kepada Microsoft pada Agustus 2025 dan diperbaiki melalui Patch Tuesday Januari 2026. Hingga saat ini, belum ada bukti bahwa metode ini telah dieksploitasi secara aktif di dunia nyata.
Penting dicatat bahwa Reprompt hanya berdampak pada Copilot Personal, bukan Microsoft 365 Copilot yang digunakan pelanggan enterprise. Versi enterprise memiliki lapisan perlindungan tambahan, termasuk audit, kebijakan DLP tingkat tenant, dan pembatasan administratif.
Rekomendasi Keamanan
Meski celah ini telah ditutup, pengguna sangat disarankan untuk:
- Segera memasang update keamanan Windows terbaru
- Lebih waspada terhadap tautan Copilot atau AI yang dikirim melalui email atau pesan
- Menyadari bahwa URL yang terlihat sah tetap bisa membawa risiko jika memuat parameter tersembunyi
Kasus Reprompt menjadi pengingat bahwa AI assistant modern juga memiliki permukaan serangan baru, dan keamanan prompt serta sesi LLM kini menjadi bagian penting dari pertahanan siber.