Microsoft Copilot: Ein Klick genügte, um Nutzerdaten zu stehlen

Eine neue Sicherheitslücke in Microsofts KI-Assistenten Copilot ermöglichte es Angreifern, mit einem einzigen Klick auf einen präparierten Link sensible Daten abzugriffen. Die als “Reprompt” bekannte Schwachstelle betraf die persönliche Version des Assistenten und umging dessen Sicherheitsmechanismen. Microsoft hat die Lücke inzwischen geschlossen.

Sicherheitsforscher der Varonis Threat Labs entdeckten die Angriffsmethode. Sie platzierten versteckte Anweisungen in einer scheinbar legitimen Copilot-URL. Klickte ein Nutzer darauf, führte Copilot die bösartigen Befehle im Hintergrund aus – unbemerkt vom Opfer. Der Vorfall zeigt die wachsenden Sicherheitsrisiken von KI-Assistenten, die tief in Betriebssysteme eingebettet sind.

So funktionierte der raffinierte “Reprompt”-Angriff

Der Angriff kaperte die bereits authentifizierte Sitzung des Nutzers. Die Angreifer schmuggelten ihre Anweisungen über den “q”-Parameter einer URL ein, der normalerweise Suchanfragen vorausfüllt. Die Forscher kombinierten drei Techniken:

• Parameter-to-Prompt Injection: Die bösartigen Befehle wurden direkt über die URL eingeschleust.
• Double-Request-Methode: Copilots Schutzmechanismen griffen oft nur bei der ersten Anfrage. Eine zweite, identische Anfrage umging sie.
• Chain-Request: Nach dem ersten Befehl konnte der Server des Angreifers eine Kette von Folgeanweisungen senden, um Schritt für Schritt mehr Daten zu stehlen.

Der Datenabfluss erfolgte in kleinen, unauffälligen Schritten und blieb für viele Überwachungstools unsichtbar. Er konnte sogar fortgesetzt werden, nachdem der Nutzer das Chatfenster bereits geschlossen hatte.

Viele Phishing-Angriffe beginnen mit nur einem manipulierten Link – genau wie beim Copilot‑„Reprompt“. Wer solche Links nicht sofort erkennt, riskiert, dass Login‑Daten, Konversationsverläufe und Dateizugriffe unbemerkt abfließen. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, konkrete Checklisten und Vorlagen für wirksame Abwehrmaßnahmen, mit denen Sie Phishing‑Versuche früher erkennen und wirkungsvoll stoppen können. Ideal für Privatnutzer und kleine Teams, die ihre Daten schützen wollen. Anti-Phishing-Paket jetzt kostenfrei herunterladen

Welche Daten waren in Gefahr?

Betroffen war ausschließlich Copilot Personal für Privatnutzer. Die Unternehmensversion Microsoft 365 Copilot war laut Microsoft nicht gefährdet, da die Lücke dort früher behoben wurde.

Ein einziger Klick auf einen manipulierten Link – etwa in einer Phishing-E-Mail – reichte aus. Es war keine Installation von Schadsoftware nötig. Kompromittiert werden konnten:

• Benutzername und Standortdaten
• Der Verlauf von Dateizugriffen
• Gespeicherte Konversationen mit dem KI-Assistenten

Der Angreifer hatte potenziell Zugriff auf alle Informationen, die auch Copilot sehen konnte.

Microsoft reagierte – aber das Problem bleibt

Die Forscher meldeten die Schwachstelle bereits im August 2025 an Microsoft. Das Unternehmen schloss die Lücke mit seinem Patch-Tuesday-Update im Januar 2026, bevor Details öffentlich wurden. Ein Sprecher bedankte sich für die verantwortungsvolle Offenlegung und bestätigte, dass Schutzmaßnahmen implementiert wurden.

Bisher gibt es keine Hinweise auf eine aktive Ausnutzung durch Kriminelle. Doch der Fall unterstreicht die Dringlichkeit für KI-Hersteller: Externe Eingaben wie URLs müssen strenger validiert und als grundsätzlich nicht vertrauenswürdig behandelt werden.

Prompt Injection: Die neue Angriffsfläche für KI

“Reprompt” ist ein Beispiel für Prompt-Injection-Angriffe. Dabei werden KI-Modelle durch manipulierte Eingaben zu unbeabsichtigten Aktionen verleitet. Im Gegensatz zu traditionellen Softwarefehlern nutzen diese Angriffe aus, wie KI natürliche Sprache interpretiert.

Die Angriffsfläche hat sich fundamental verändert: Statt bösartigem Code wird nun die Semantik der Sprache zum Einfallstor. KI-Assistenten mit Zugriff auf E-Mails, Kalender und Kontakte sind ein lukratives Ziel. Ähnliche Muster zeigten sich jüngst bei anderen Systemen wie Google Gemini, wo Befehle in Kalendereinladungen versteckt wurden.

Solche Angriffe sind für herkömmliche Sicherheitstools, die nach schadhaftem Code suchen, oft unsichtbar. Der Wettlauf zwischen rasanter KI-Innovation und robuster Sicherheit hat gerade erst begonnen.

PS: Wenn ein einziger Klick genügt, um sensible Informationen preiszugeben, hilft nur ein klarer Plan. Das Anti‑Phishing‑Paket erklärt die psychologischen Tricks von Phishern, zeigt konkrete Präventionsschritte und enthält Mustertexte für sichere E‑Mail‑Routinen sowie Vorlagen für Mitarbeiterschulungen. Damit reduzieren Sie das Risiko, dass manipulierte URLs Ihre Daten oder KI‑Konversationen kompromittieren. Fordern Sie den Gratis‑Guide an und sichern Sie Ihre Privatsphäre sofort. Jetzt Anti-Phishing-Guide anfordern