Die Reprompt-Methode nutzte drei aufeinander aufbauende Techniken:

1. Parameter-to-Prompt-Injection (P2P): Angreifer konnten über den URL-Parameter "q" direkt Befehle an Copilot übergeben. Dieser Parameter dient normalerweise dazu, Suchanfragen über URLs vorzufüllen. Ein Klick auf einen entsprechend präparierten Link ließ Copilot Befehle ausführen, als hätte der Nutzer sie selbst eingegeben.
2. Double-Request-Technik: Copilots Schutzmechanismen griffen nur bei der ersten Anfrage. Die Forscher umgingen dies, indem sie Copilot anwiesen, jeden Vorgang zweimal auszuführen. Während beim ersten Versuch sensible Daten gefiltert wurden, funktionierte die Datenübertragung beim zweiten Durchlauf.
3. Chain-Request-Technik: Nach der initialen Anfrage konnte der Angreifer-Server schrittweise weitere Befehle nachliefern. Copilot führte diese aus und übermittelte dabei sukzessive verschiedene Informationen – von Zeitzone und Standort bis hin zu Gesprächsverläufen und persönlichen Daten.

Klick auf Link genügte

Die Angriffskette benötigte laut Varonis lediglich einen Klick auf einen legitimen Microsoft-Link. Keine zusätzlichen Plugins oder weitere Nutzerinteraktionen waren erforderlich. Die Session blieb selbst nach Schließen des Copilot-Tabs aktiv, wodurch die Datenexfiltration im Hintergrund weiterlief. Da die eigentlichen Befehle erst vom Server nachgeliefert wurden, ließen sie sich durch Inspektion des initialen Links nicht erkennen.

Client-seitige Sicherheitstools konnten den dynamischen Datenaustausch zwischen Copilot und dem Angreifer-Server nicht erfassen. Anders als bei anderen AI-Schwachstellen wie "EchoLeak" erforderte Reprompt keine Nutzereingaben in Prompts, keine installierten Plugins oder aktivierten Konnektoren. Die Methode nutzte ausschließlich Standardfunktionalität der Plattform.

Betroffene Systeme

Betroffen war ausschließlich Microsoft Copilot Personal. Enterprise-Kunden von Microsoft 365 Copilot waren nach Angaben von Microsoft nicht gefährdet. Die Schwachstelle gilt seit dem 14. Januar 2026 als behoben. Die Sicherheitsexperten empfehlen AI-Anbietern, externe Eingaben grundsätzlich als nicht vertrauenswürdig zu behandeln und Schutzmaßnahmen über die gesamte Ausführungskette hinweg aufrechtzuerhalten. Nutzer sollten Links nur von vertrauenswürdigen Quellen öffnen und vorausgefüllte Prompts vor der Ausführung prüfen.