A presença cada vez maior da Inteligência Artificial em sistemas operacionais e ferramentas de produtividade mudou profundamente a forma como usuários interagem com a tecnologia. Assistentes baseados em LLM deixaram de ser apenas recursos experimentais e passaram a lidar com contexto, histórico e, em muitos casos, dados sensíveis do usuário.
Foi justamente nesse novo cenário que pesquisadores da Varonis identificaram uma vulnerabilidade preocupante no Microsoft Copilot. Batizada de Reprompt, a falha demonstrou que sessões de IA podiam ser manipuladas de forma silenciosa, permitindo desde a alteração do comportamento do assistente até a exfiltração de dados, sem alertas claros para o usuário. A Microsoft corrigiu o problema na atualização de janeiro de 2026, mas compreender como o ataque funcionava é essencial para avaliar os riscos reais associados ao uso cotidiano de IA.
O que é o ataque Reprompt e como ele funciona
O ataque Reprompt explorava uma fragilidade lógica na forma como o Microsoft Copilot processava parâmetros recebidos por meio de URLs. O ponto central da vulnerabilidade estava no parâmetro q, utilizado para transmitir consultas e contexto ao assistente de IA.
Ao criar um link cuidadosamente manipulado, o invasor conseguia inserir instruções ocultas nesse parâmetro. Quando o usuário clicava no link, geralmente distribuído por campanhas de phishing, o Copilot interpretava essas instruções como parte legítima da conversa.
Esse processo não envolvia malware tradicional nem exploração de falhas de execução de código. O ataque se baseava exclusivamente na manipulação do contexto interpretado pelo LLM, permitindo que a sessão ativa fosse influenciada sem que o usuário percebesse qualquer comportamento anormal imediato.
As três técnicas por trás da invasão
Injeção de parâmetro para prompt (P2P)
A base técnica do ataque estava na chamada Injeção de parâmetro para prompt (P2P). Nessa abordagem, o atacante inseria comandos diretamente no parâmetro q da URL, estruturados de forma que fossem compreendidos pelo LLM como instruções prioritárias.
Esses comandos podiam sobrescrever ou interferir no prompt original da sessão. Como resultado, o Microsoft Copilot passava a responder de acordo com diretrizes impostas pelo invasor, e não apenas pelas perguntas feitas pelo usuário.
Esse tipo de ataque é especialmente perigoso porque explora o funcionamento esperado da IA. Não há código malicioso envolvido, apenas o uso indevido da lógica de interpretação do modelo.
Técnica de requisição dupla
A segunda técnica identificada pela Varonis foi a chamada técnica de requisição dupla. Nesse caso, o link malicioso era projetado para gerar duas solicitações quase simultâneas ao Copilot.
A primeira requisição estabelecia um contexto aparentemente legítimo. Logo depois, a segunda introduzia o prompt malicioso. Essa sequência explorava brechas temporais no processo de validação de contexto do Microsoft Copilot, permitindo que filtros de segurança fossem contornados.
Como ambas as requisições eram tratadas como parte da mesma interação, o sistema aceitava o conteúdo malicioso sem gerar alertas evidentes.
Requisição em cadeia
A técnica mais avançada observada no ataque Reprompt foi a requisição em cadeia. Nesse modelo, o clique inicial do usuário dava início a uma sequência contínua de prompts encadeados.
Essa cadeia permitia manter o controle da sessão ao longo do tempo. O invasor podia ajustar gradualmente o comportamento do LLM, direcionando respostas, alterando interpretações e conduzindo a IA a expor informações específicas.
Todo esse processo ocorria dentro do fluxo normal de uso do Copilot, o que tornava o ataque praticamente invisível para soluções tradicionais de segurança.
Impacto e usuários afetados
O impacto do ataque Reprompt variava conforme o tipo de Copilot utilizado. No Copilot pessoal integrado ao Windows, o risco estava associado principalmente à exposição de histórico de interações, contexto de uso e possíveis dados pessoais utilizados pela IA nas respostas.
No Microsoft 365 Copilot, voltado para ambientes corporativos, o cenário era mais grave. Como a ferramenta tem acesso a e-mails, documentos, agendas e conversas internas, a exfiltração de dados podia ocorrer de forma silenciosa, sem gerar logs claros ou alertas imediatos.
De acordo com a Varonis, esse tipo de exploração representa uma nova classe de ameaça. Em vez de atacar sistemas diretamente, o invasor explora o comportamento do LLM, burlando controles de segurança que não foram projetados para esse tipo de abuso lógico.
Conclusão e como se proteger
O ataque Reprompt mostrou que a segurança em ambientes baseados em Inteligência Artificial exige uma abordagem diferente da tradicional. Não basta proteger apenas o código, é necessário compreender como o contexto, os prompts e o comportamento do LLM podem ser explorados.
A correção distribuída pela Microsoft no Patch Tuesday de janeiro de 2026 foi fundamental para mitigar a vulnerabilidade, reforçando validações de parâmetros e limitando a interpretação de instruções vindas de URLs externas.
Para os usuários, a principal recomendação continua sendo manter o sistema sempre atualizado, além de adotar cuidados básicos de higiene digital. Evitar clicar em links suspeitos, mesmo quando parecem legítimos, e ficar atento a campanhas de phishing são medidas simples, mas eficazes.
À medida que a IA se torna parte central da experiência digital, compreender riscos como esse é essencial para utilizar essas tecnologias com mais segurança e consciência.
