Eine Schwachstelle im KI-Helfer von Microsoft hat gezeigt, wie gefährlich solche Assistenten sein können. Angreifer mussten wohl nur eine E-Mail schicken, damit der Microsoft Copilot geheime Daten seiner Nutzer preisgab.
EchoLeak: Sicherheitsrisiko in Microsoft Copilot
Die Sicherheitsfirma Aim Security hat eigenen Angaben zufolge eine Zero-Click-Lücke in Microsoft 365 Copilot aufgedeckt. Ohne jede Interaktion der Betroffenen konnte die KI anscheinend dazu gebracht werden, vertrauliche Informationen seiner Nutzer aus E-Mails, der OneDrive-Cloud oder Teams-Chats preiszugeben.
Die Schwachstelle mit dem Namen EchoLeak war nicht nur technisch raffiniert, sondern auch extrem gefährlich. Sie machte sich zunutze, dass Copilot externe Inhalte falsch einordnete, etwa wenn getarnte Anweisungen an die KI in E-Mails nicht als gefährlich erkannt wurden. Der Angriff konnte dabei sogar Sicherheitsmechanismen wie Linkfilter oder Content-Sicherheitsrichtlinien umgehen, heißt es.
Das Problem lag den Forschern zufolge in einem grundsätzlichen Konstruktionsfehler vieler KI-Agenten, die auf das RAG-Prinzip (Retrieval-Augmented Generation) setzen. Copilot greift auf Unternehmensdaten zu, um Nutzern kontextbezogene Antworten zu liefern, was in diesem Fall zur Schwachstelle wurde. Microsoft hat die Lücke eigenen Angaben zufolge inzwischen geschlossen und erklärt, dass bislang keine aktiven Angriffe bekannt sind.
KI: Neue Klasse von Sicherheitslücken
Aim Security spricht in diesem Zusammenhang von einer ganz neuen Klasse von Sicherheitslücken, die nur durch speziell auf KI-Anwendungen zugeschnittene Schutzmaßnahmen verhindert werden können. Herkömmliche Methoden greifen hier nicht.
Die Experten fordern, dass Anbieter wie Microsoft nicht nur reaktiv Sicherheitslücken stopfen, sondern auch das Design ihrer KI-Modelle grundsätzlich überdenken. KI-Agenten müssten dabei in einem ersten Schritt viel besser zwischen internen und externen Quellen unterscheiden.
