كشف باحثون في شركة “Varonis”المتخصصة في أمن البيانات، عن ثغرة أمنية خطيرة في مساعد الذكاء الاصطناعي “Copilot” التابع لشركة “Microsoft”.وأوضح الباحثون، في تقرير تقني، أن الثغرة سمحت نظريًا بتسريب ملفات المستخدمين وسجل نشاطهم داخل بيئة “Microsoft” المؤسسية عبر نقرة واحدة فقط على رابط يبدو عاديًا.
خطورة الثغرة
ولفت الباحثون إلى أن الثغرة التي أطلقوا عليها اسم “Reprompt” اعتمدت على التلاعب بطريقة تمرير الأسئلة “Prompts” داخل الروابط؛ بحيث يتمكن المهاجم من تمرير تعليمات خفية إلى “Copilot” دون علم المستخدم، ما يسمح باستخراج بيانات حساسة من السياق الذي يعمل فيه المساعد الذكي، من دون الحاجة إلى أي تفاعل إضافي أو موافقات صريحة.وأشار التقرير التقني إلى أن خطورة “Reprompt” تكمن في قدرتها على إنشاء ما وصفه الباحثون بـ”قنوات خفية لتهريب البيانات”، حيث يتعامل النظام مع الطلبات الضارة على أنها أوامر طبيعية، في الوقت الذي يظن فيه المستخدم أن الرابط لا يتجاوز كونه محتوى عاديًا أو استعلامًا مشروعًا داخل بيئة العمل.وبحسب شركة “Varonis”، فإن استغلال تلك الثغرة كان ممكنًا داخل بيئات “Microsoft” التي تعتمد على “Copilot” للوصول إلى المستندات ورسائل البريد وبيانات العمل، ما يُبرز حساسية دمج نماذج الذكاء الاصطناعي مع مصادر بيانات داخلية واسعة النطاق دون ضوابط دقيقة على السياق والأوامر الممررة.من جهتها، ردت شركة “مايكروسوفت” بأنها تعاملت مع البلاغ فور تلقيه، وأغلقت الثغرة في تحديث أمني مطلع عام 2026، مشيرة إلى أنه لا توجد دلائل على استغلالها على نطاق واسع قبل إصلاحها، بحسب التقييم الداخلي للشركة.