Am vergangenen Dienstag schloss Microsoft eine kritische Sicherheitslücke in seiner KI-Plattform Microsoft 365 Copilot. Doch erst als unabhängige Forscher die Details der Schwachstelle öffentlich machten, wurde klar, wie gravierend das Problem tatsächlich war. Sie demonstrierten, dass Angreifer mit einem einfachen Trick Zugriff auf sensible Informationen wie Zwei-Faktor-Authentifizierungscodes (2FA) und E-Mail-Inhalte erlangen konnten – selbst wenn diese in scheinbar harmlosen Anfragen versteckt waren.
Die Ursache für diese Verwundbarkeit liegt tief im Design moderner KI-Systeme. Viele große Sprachmodelle (LLMs) wie Copilot können nicht zuverlässig zwischen legitimen Nutzeranfragen und manipulativen Anweisungen unterscheiden, die in externen Inhalten versteckt sind. Ob in E-Mails, Webseiten oder anderen Dokumenten: Sobald eine KI eine solche Anfrage verarbeitet, führt sie die darin enthaltenen Befehle aus – oft ohne zu erkennen, dass sie möglicherweise missbraucht wird. Microsoft und andere Anbieter versuchen zwar, diese Lücken mit zusätzlichen Sicherheitsmechanismen zu schließen, doch diese sind oft unzureichend und erfordern ständige Nachbesserungen.
Wie Angreifer die Sicherheitsmechanismen von Copilot umgingen
Microsoft hatte in Copilot und ähnlichen KI-Tools bereits Schutzmechanismen implementiert, um zu verhindern, dass die KI unerwünschte Aktionen wie das Versenden von E-Mails oder das Ausfüllen von Webformularen ausführt. Diese Maßnahmen sollten eigentlich verhindern, dass sensible Daten ungewollt an Dritte weitergegeben werden. Doch die Forscher fanden einen Weg, diese Barrieren zu umgehen – und zwar mit einfachen, aber effektiven Techniken aus der Webentwicklung.
Ein zentraler Ansatz bestand darin, sensible Informationen in Markup-Sprachen wie HTML oder Markdown zu verpacken. Diese Sprachen erlauben es, Inhalte so zu strukturieren, dass sie für Menschen lesbar bleiben, während sie gleichzeitig automatisierte Systeme wie KI-Assistenten dazu verleiten, die darin enthaltenen Befehle auszuführen. Beispielsweise konnte ein Angreifer eine E-Mail so gestalten, dass sie nicht nur Text, sondern auch versteckte HTML-Tags enthielt. Diese Tags umschlossen etwa ein unsichtbares Bild (<img>) oder ein Formular (<form>), dessen action-Attribut auf einen Server des Angreifers zeigte. Sobald Copilot die E-Mail verarbeitete, lud die KI das Bild oder das Formular – und übermittelte dabei automatisch sensible Daten wie 2FA-Codes an den fremden Server.
Ein weiterer Trick bestand darin, die Daten in Markdown-Elemente wie Überschriften oder Listen zu integrieren. Selbst wenn Copilot diese Inhalte nur zusammenfasste oder darauf antwortete, konnten die versteckten Befehle oder Datenpunkte an den Angreifer übertragen werden. Diese Methode war besonders tückisch, weil sie keine komplexen technischen Kenntnisse voraussetzte – ein einfacher Trick mit großer Wirkung.
Warum aktuelle Sicherheitsmaßnahmen an ihre Grenzen stoßen
Das Problem, das hinter der Copilot-Schwachstelle steckt, ist kein Einzelfall. Viele KI-Systeme leiden unter einer grundlegenden Schwäche: Sie sind darauf ausgelegt, Inhalte zu verarbeiten und zu generieren, ohne dabei zu erkennen, ob diese Inhalte vertrauenswürdig sind. Diese sogenannte "AI Gullibility" – also die naive Ausführung von Befehlen – macht KI-Tools anfällig für Manipulationen.
Microsoft und andere Anbieter haben zwar versucht, zusätzliche Schutzschichten einzubauen, etwa durch die Filterung von Eingaben oder die Implementierung von Verhaltensregeln. Doch diese Maßnahmen sind oft nur Reaktionen auf bereits bekannte Angriffsvektoren. Neue Techniken, wie die Nutzung von Markup-Sprachen zur Datenexfiltration, zeigen, dass die Angreifer immer einen Schritt voraus sind.
Ein zentrales Dilemma bleibt: KI-Systeme müssen flexibel genug sein, um nützliche Aufgaben zu erfüllen, gleichzeitig aber auch robust genug, um Missbrauch zu verhindern. Bislang fehlt es jedoch an einer langfristigen Lösung, die beide Anforderungen gleichermaßen erfüllt. Die Forscher betonen, dass es keine einfache Patentlösung gibt – stattdessen müsse ein ganzes Ökosystem aus Sicherheitsupdates, Nutzeraufklärung und technologischen Innovationen geschaffen werden, um solche Schwachstellen künftig zu minimieren.
Was Nutzer und Unternehmen jetzt tun sollten
Die Entdeckung dieser Schwachstelle unterstreicht einmal mehr, wie wichtig es ist, KI-Tools mit Vorsicht zu nutzen – besonders wenn sie Zugriff auf sensible Daten haben. Microsoft hat die Lücke zwar bereits geschlossen, doch ähnliche Probleme könnten in anderen KI-Plattformen auftauchen. Nutzer sollten daher regelmäßig Sicherheitsupdates installieren und sich über neue Bedrohungen informieren.
Unternehmen, die auf KI-Assistenten wie Copilot setzen, sollten darüber hinaus prüfen, welche Zugriffsrechte sie den Systemen gewähren. Eine restriktive Rechteverwaltung kann das Risiko von Datenlecks verringern. Zudem empfiehlt es sich, Schulungen für Mitarbeiter durchzuführen, um sie für die Gefahren von KI-Manipulationen zu sensibilisieren.
Die Zukunft der KI-Sicherheit wird davon abhängen, ob es gelingt, die Balance zwischen Funktionalität und Schutz zu finden. Bis dahin bleibt die Verantwortung bei den Nutzern – denn auch die beste Technologie ist nur so sicher wie die Menschen, die sie einsetzen.
KI-Zusammenfassung
Microsoft'un Copilot AI platformunda keşfedilen kritik güvenlik açığı, saldırganların ikinci faktör doğrulama kodlarını çalmasına olanak tanıyordu. Detayları ve koruma önerilerini inceleyin.
