- Reprompt explotava el paràmetre q de Copilot per injectar prompts i exfiltrar dades amb un sol clic.
- La vulnerabilitat va afectar principalment Copilot Personal i va ser aplicada per Microsoft el gener de 2026.
- Les injeccions de prompts i l'accés al context mostren límits estructurals de la seguretat a IA.
- L´ús massiu de Copilot amplia la superfície d´atac i obliga a extremar configuracions i actualitzacions.
La popularitat de Copilot ha crescut tan ràpid que molts usuaris senten que els ho han enfangat per força en el seu dia a dia: En Windows, a Office, al navegador… I just quan ens estàvem acostumant, ha saltat a la palestra un problema de seguretat que ha aixecat moltes celles: l'anomenat fallada Reprompt a Copilot, un exploit d'un sol clic capaç d'exposar dades personals sense que l'usuari faci aparentment gens estrany.
Alhora, hi ha qui s'està trobant amb missatges del tipus “no és una configuració compatible, continuaré operant sota les meves instruccions definides” quan intenta forçar Copilot amb prompts extrems (com el famós mode absolut), o avisos com “You can't submit any more prompts” que bloquegen l'enviament de peticions noves. Tot això es barreja amb errors de l'app a Windows 11 i debats encesos sobre si les injeccions de prompts són vulnerabilitats reals o simplement limitacions inevitables de la IA generativa. Posarem ordre en tot aquest caos.
Què és la decisió Reprompt a Copilot i per què ha donat tant que parlar
el nom Reprompt els ho devem a l'equip de Varonis Threat Labs, que va descobrir una tècnica per aprofitar la manera com Copilot maneja certs paràmetres a la URL. El resultat era un escenari molt preocupant: amb un sol clic a un enllaç aparentment inofensiu, Copilot podia ser induït a recopilar informació de l'usuari i enviar-la a un servidor controlat per un atacant, sense diàlegs de confirmació ni avisos clars.
Microsoft va rebre l'informe de Varonis a finals de agost de 2025 i va llançar el pegat el 13 de gener de 2026, coincidint amb el Patch Tuesday d'aquell mes. Durant aquest període, la porta va estar oberta, encara que la sentència ja està oficialment corregit a les versions actuals de Copilot. Això sí, només per als que mantenen el programari actualitzat.
Com funcionava tècnicament Reprompt: el truc del paràmetre “q”
La clau de l'atac Reprompt estava en un comportament que, a simple vista, sembla totalment normal: Copilot permetia que se li passessin consultes o prompts a través de la URL utilitzant un paràmetre anomenat q. Com veus quan fas una cerca a Google i la teva consulta apareix escrita a la barra d'adreces formant part de l'enllaç.
Aquest paràmetre q servia perquè Copilot carregués la pàgina amb el quadre de text ja farcit, però també obria la porta que un atacant hi fiqués allà. instruccions malicioses camuflades. Quan l'usuari feia clic en un enllaç que apuntava, per exemple, a un domini legítim de Microsoft com a copilot.com, el contingut del paràmetre q s'interpretava com si l'usuari l'hagués escrit a mà.
A partir d'aquell moment, Copilot podia ser persuadit perquè accedís al context de l'usuari (historial recent, contingut generat, dades associades al compte, informació de serveis connectats, etc.) i realitzés accions encadenades dirigides per l'atacant. Tot això sense que lusuari hagués daprovar noves finestres, permisos o diàlegs sospitosos.
Varonis va descriure l'atac emprant una combinació de tècniques batejades com Parametre-to-Prompt (P2P), Double-request y Chain-request. Encara que sonin a argot molt específic, en essència descriuen com es passa d'un simple enllaç a un flux automatitzat d'exfiltració de dades.
Les tècniques P2P, Double-request i Chain-request explicades sense tecnicismes
La primera peça del puzle era el que els investigadors van anomenar Parametre-to-Prompt (P2P). Bàsicament, s'aprofita que el paràmetre q de la URL no només conté text innocent, sinó que pot incloure instruccions dissenyades per enganyar el model: demana-li a Copilot, per exemple, que recopili certa informació del context i l'enviï a una adreça externa.
La segona tècnica, Double-request, feia referència a la manera de sortejar defenses que només s'aplicaven bé a la primera petició. El flux de l'exploit obligava Copilot a generar una segona sol·licitud, en què les comprovacions inicials ja no s'aplicaven amb la mateixa força, permetent que es colessin instruccions que, altrament, podrien haver quedat bloquejades.
La tercera peça, Chain-request, permetia que Copilot anés rebent ordres addicionals des d'un servidor de l'atacant. En lloc d'una única ordre estàtica a la URL, l'assistent podia anar consultant instruccions pas a pas, mantenint viva la sessió i ampliant el que es podia extreure del context de l'usuari.
En conjunt, aquestes tècniques aconseguien que, després del clic inicial, Copilot esdevingués pràcticament un agent al servei de l'atacant, operant a la sessió de la víctima amb el mateix grau d'accés a dades i serveis. La IA no era infectada per un el malware clàssic, sinó que simplement seguia instruccions ben dissenyades.
Les demostracions mostraven escenaris com demanar a Copilot que llistes quins fitxers havia consultat recentment l'usuari, que determinés la ubicació aproximada, que extragués fragments de documents o que revelés hàbits dús. No era tant “buidar tot el disc dur” com construir un perfil molt detallat de lusuari i la seva activitat recent.
Quin tipus de dades es podien veure compromeses amb Reprompt
Segons Varonis i altres analistes, Reprompt posava en risc qualsevol dada accessible per a Copilot dins de la seva context d'execució. Això inclou, entre altres, elements com el historial de converses recents, el contingut generat en aquesta sessió, referències a documents consultats o oberts i metadades sobre el compte de l'usuari.
En determinats escenaris, si Copilot tenia integració amb serveis addicionals, la IA podia arribar a exposar informació de correu electrònic, documents interns, dades d'autenticació o detalls de serveis al núvol. Això depenia dels permisos concrets, però el risc teòric anava més enllà de simples frases de xat.
Un dels punts que més va inquietar la comunitat va ser la possibilitat de exfiltrar les dades directament a infraestructura controlada per l'atacant, i no només mostrar-los en pantalla. La IA podia ser instruïda per formatar la informació i enviar-la com si estigués accedint a un recurs legítim, utilitzant canals que les solucions de seguretat tradicionals del costat del client no estan preparades per monitoritzar.
De fet, Varonis va recalcar que les fugues d'aquest tipus no s'assemblen als incidents clàssics en què un arxiu maliciós es descarrega a l'equip local. Aquí la filtració es produeix al flux d'anada i tornada entre l'usuari i l'assistent, de manera que moltes eines de protecció no veuen res fora del normal.
Encara que l'exploit ja està pegat, el cas Reprompt ha servit d'exemple de com resulta de fàcil explotar la confiança cega en enllaços que apunten a dominis aparentment irreprotxables, com a pàgines oficials de Microsoft, i com la IA pot convertir-se en vehicle de filtració sense que s'instal·li ni una sola aplicació extra.
A qui va afectar Reprompt i com va reaccionar Microsoft
Els informes públics indiquen que Reprompt afectava específicament Copilot Personal, el que solem veure integrat en navegadors i aplicacions per a usuaris particulars. En canvi, Microsoft 365 Copilot, utilitzat en empreses, no va resultar afectat en la mateixa mesura, gràcies a les seves configuracions i controls addicionals.
A l'entorn corporatiu és habitual trobar auditoria d'ús, polítiques de Data Loss Prevention (DLP), restriccions de context, control més estricte sobre quines dades pot veure l'assistent i supervisió activa per part del departament de TI. Això redueix l'impacte potencial d'un atac d'aquest tipus, tot i que no elimina completament el risc de noves variants.
Pel que fa a la línia de temps, Varonis va notificar el problema a finals d'agost del 2025 i l'arranjament va formar part de les actualitzacions del 13 de gener de 2026. Des del punt de vista de la divulgació responsable, es va seguir el patró habitual: informe privat, anàlisi, desenvolupament del pegat i comunicació pública una vegada protegits els usuaris.
Microsoft ha confirmat que la vulnerabilitat associada al paràmetre q a Copilot ja està corregida. Tot i això, els experts subratllen que l'arrel del problema no és només una implementació concreta, sinó la manera com els assistents d'IA interpreten les entrades externes, siguin textos, documents o enllaços.
En paral·lel a Reprompt, la companyia s'ha hagut de pronunciar sobre altres informes d'investigadors que assenyalen problemes de injecció de prompts, bypass de polítiques de tipus de fitxer i execució de ordres dins l'entorn Linux aïllat que utilitza Copilot. En diversos casos, Microsoft ha considerat que no es tracta de vulnerabilitats “reparables” en el sentit clàssic.
Injeccions de prompts, sandbox i el debat sobre què és una vulnerabilitat a IA
Més enllà de Reprompt, investigadors com l'enginyer de ciberseguretat John Russell han denunciat públicament que Microsoft ha tancat diversos dels seus reports relatius a Copilot al·legant que no compleixen els criteris de mantenibilitat establerts a la seva política de vulnerabilitats.
Entre els problemes que Russell va dir haver identificat es trobaven: injecció directa i indirecta de prompts capaç de revelar el prompt del sistema, mètodes per saltar-se la política de tipus de fitxers usant codificació Base64 i la execució d'ordres a l'entorn Linux aïllat que utilitza Copilot. Des del punt de vista, aquestes conductes mostren debilitats estructurals en les defenses de la plataforma.
Un cas especialment cridaner és el bypass de la restricció de pujada darxius perillosos. Copilot bloqueja per defecte formats considerats de risc, però Russell va demostrar que es pot codificar un fitxer problemàtic a Base64, enviar-lo com si fos text pla, descodificar-lo dins de la sessió i analitzar-lo des d'aquí, eludint les comprovacions inicials del tipus de fitxer.
Altres professionals, com Raj Marathe, han recordat demostracions en què una injecció prompt oculta dins d'un document Paraula pujat a Copilot acabava produint comportaments erràtics i fins i tot bloquejos del sistema. En aquests casos, el model tractava contingut que havia de ser dades neutrals com si fossin instruccions dalt nivell.
Al costat contrari, investigadors com Cameron Criswell argumenten que moltes daquestes conductes són simplement limitacions intrínseques dels models de llenguatge. Els LLM no distingeixen de manera perfecta entre dades i instruccions, i intentar impedir per complet que interpretin certs textos com a ordres podria destruir gran part de la seva utilitat pràctica.
El paper del prompt del sistema i la visió de OWASP GenAI
Un altre tema clau és l'exposició del prompt del sistema, aquest conjunt d'instruccions ocultes que defineix la personalitat i límits d'un assistent com a Copilot. Algunes investigacions han demostrat que, mitjançant injeccions creatives, és possible forçar el model a revelar part o la totalitat d'aquest prompt intern.
El Projecte OWASP GenAI, una referència en seguretat aplicada a IA generativa, adopta una postura matisada: la filtració del prompt del sistema, per si sola, no sempre constitueix una vulnerabilitat greu. El problema apareix quan aquest prompt inclou informació sensible, regles de seguretat concretes, lògica de control de privilegis o detalls que permetin eludir proteccions.
En altres paraules, el risc important sorgeix quan conèixer el prompt del sistema permet a un atacant descobrir com burlar restriccions d'accés, provocar escalades de privilegis o extreure'n dades confidencials. Si el prompt només conté instruccions genèriques de comportament, la seva divulgació és molesta, però no necessàriament crítica.
OWASP també recorda que, fins i tot sense accedir literalment al text complet del prompt, els atacants poden inferir bona part de les regles internes simplement parlant amb el sistema i analitzant-ne les respostes. Per això, amagar el prompt no ha de ser lúnica capa de seguretat, sinó una mesura més dins una estratègia molt més àmplia.
Microsoft, per part seva, ha explicat que els reports relacionats amb Copilot s'avaluen segons la seva política pública de classificació de vulnerabilitats. Molts casos es consideren fora d'abast quan l'impacte es limita a l'entorn de l'usuari que fa la sol·licitud, no creua barreres de seguretat entre comptes diferents o implica informació de baix privilegi.
Altres problemes pràctics de Copilot: bloquejos de prompts i errors a l'app
Mentre es discuteixen aquestes qüestions d'alt nivell a la comunitat de ciberseguretat, els usuaris corrents topen amb problemes més mundans però igual de frustrants. Un és l'error que mostra Copilot dient “You can't submit any more prompts”, que impedeix continuar enviant missatges.
Des del suport oficial de Microsoft es recomanen passos clàssics: tancar sessió i tornar a iniciar a l'app de Copilot, provar amb un altre navegador per descartar extensions o memòria cau problemàtica, i fins i tot crear un perfil d'usuari local nou al dispositiu si se sospita que el problema està lligat al compte actual.
També hi ha usuaris que intenten enganxar prompts molt agressius o complexos per posar Copilot en supòsits “maneres absolutes” o configuracions extremes, i ara es troben amb la resposta: “no és una configuració compatible, continuaré operant sota les meves instruccions definides”.Aquest tipus de missatges reflecteixen que Microsoft ha endurit les barreres contra modificacions radicals del comportament base de l'assistent.
Al terreny de l'escriptori, l'app nativa de Copilot per a Windows 11 tampoc no es lliura de fallades. És relativament freqüent que, després d'instal·lar-la des de la Microsoft Store, la icona estigui present però l'aplicació simplement no arribi a obrir-se quan lusuari intenta executar-la.
Per a aquest tipus d'incidències, les solucions recomanades passen per: reiniciar Windows per descartar errors transitoris, comprovar la connexió a Internet, utilitzar la funció de reparar o restablir l'aplicació des de Configuració > Aplicacions > Aplicacions instal·lades > Microsoft Copilot, Executar el solucionador de problemes de la Microsoft Store i, en casos més seriosos, revisar la integritat dels fitxers del sistema amb l'ordre sfc /scannow des d'una consola amb privilegis d'administrador.
Per què la superfície d'atac de Copilot continuarà creixent
Un punt on pràcticament tots els experts coincideixen és que el problema de fons no és només Reprompt, ni un cas concret de bypass de filtres, sinó el mateix model d'aquestes eines: Copilot és útil precisament perquè “toca coses”, és a dir, perquè té accés a dades reals, aplicacions i serveis connectats.
Com més capacitats s'afegeixen a l'assistent (integració amb Office, accés a correu, gestió d'arxius al núvol, automatització de tasques a Windows, etc.), més creix la superfície d'atac disponible per a un atacant creatiu. Cada nou flux de treball, cada punt dintegració i cada tipus de contingut processat poden introduir vies inesperades dabús.
Per això alguns investigadors insisteixen que la discussió no es pot limitar a si un comportament encaixa o no en la definició clàssica de vulnerabilitat explotable. La IA generativa té una naturalesa probabilística i flexible que no encaixa bé amb els models de seguretat tradicionals basats en perímetres i fronteres rígides.
Alhora, resulta irrellevant aspirar a una IA totalment estanca: una IA que no pugui accedir a res i no faci més que repetir text sense connectar-se a serveis externs seria molt segura, però també pràcticament inútil en entorns productius. El repte és aconseguir un disseny on cada nova funció vagi acompanyada de controls sòlids i una anàlisi profunda de riscos.
En aquest context, casos com Reprompt funcionen com avisos primerencs de per on poden anar els propers atacs. Avui dia és un paràmetre d'URL mal controlat; demà pot ser un format de document amb instruccions embegudes o una API de tercers que introdueix la seva pròpia cadena de vulnerabilitats.
Lliçons pràctiques per a usuaris i empreses que utilitzen Copilot
Tot i que tot això soni a guerra d'experts, de Reprompt i del debat sobre injeccions de prompts es poden treure diverses lliçons molt tangibles per a qui utilitza Copilot diàriament, tant a casa com a l'oficina, i vol minimitzar riscos sense renunciar a la utilitat de l'eina.
La primera és desenvolupar una desconfiança sana cap als enllaços “intel·ligents”. Si rebeu un link que obre Copilot, o qualsevol altre assistent d'IA, amb el camp de text ja emplenat amb una consulta, convé mirar-lo amb lupa, especialment si l'enllaç arriba per correu, missatgeria o xarxes socials i no ho esperaves.
La segona és deixar de pensar en aquests assistents com a “simples xats”. Copilot i els seus equivalents són, en realitat, interfícies unificades cap a un munt de serveis: correu, documents, emmagatzematge al núvol, calendari, eines de productivitat… Donar-los accés indiscriminat equival, a la pràctica, a obrir portes molt sensibles del teu entorn digital.
La tercera, potser la més òbvia però també la més ignorada, és mantenir sempre Copilot i el sistema operatiu completament actualitzats. En el cas concret de Reprompt, el pegat tanca la porta, però només per als que instal·len les últimes versions de Windows, del navegador, d'Office i de la pròpia aplicació de Copilot.
Finalment, tant per a usuaris individuals com per a empreses, convé revisar amb calma quines fonts de dades es comparteixen amb l'assistent, quines polítiques internes en regeixen l'ús i quin tipus d'informació no s'hauria de processar mai a través d'aquests sistemes, per molt còmode que resulti delegar-los feina.
Copilot i eines similars seguiran estenent-se a sistemes operatius, suites ofimàtiques i fluxos de treball crítics, i això no pararà. Entendre l'abast d'errors com Reprompt, els límits de la seguretat actual a IA generativa i els punts on Microsoft i la comunitat de ciberseguretat discrepen ajuda a fer servir aquestes eines amb més cap, menys por irracional i força menys ingenuïtat.
Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.