![Copilot](https://borncity.com/blog/wp-content/uploads/2026/03/Copilot.jpg" "Edge")
Der in der Plattform GitHub von Microsoft integrierte Copilot sorgt mal wieder für Ärger. Es gab eine Schwachstelle CVE-2025-59145, die mit einem CVSS Score von 9.6 schon heftig ist. Über die Schwachstelle können Angreifer sensitive Daten von GitHub-Projekten extrahieren. Der Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, konnte abgezogen werden.
Die Schwachstelle CVE-2025-59145
Die CamoLeak getaufte Schwachstelle CVE-2025-59145 wurde laut BlackFog im Oktober 2025 öffentlich bekannt. Kurz vorher hatte GitHub das Problem im August 2025 durch die Deaktivierung der Bilddarstellung in Copilot Chat entschärft.
Die CamoLeak-Angriffskette basiert darauf, dass GitHub Copilot Chat Pull-Anfragen überprüft, indem es Beschreibungen, Code und Repo-Dateien unter Verwendung der Zugriffsberechtigungen des Entwicklers liest. Über die CamoLeak-Schwachstelle ließ sich dieser vertrauenswürdige Zugriff ausnutzten, indem bösartige Anweisungen in der unsichtbaren Markdown-Kommentarsyntax von GitHub versteckt werden. So ließen sich privater Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, abrufen.
CyberSecurityNews geht in diesem Artikel auf die Details ein. Der Vorfall zeigt erneut, auf welch riskantem Weg die Entwickler mit der ganzen AI / Copilot-Geschichte unterwegs sind.
MVP: 2013 – 2016
Oh nein, was ist passiert?
Was ist passiert? Oh nein!
Wie schrecklich! Das ist einfach nur furchtbar!
Wie schrecklich! Oh nein!
Das konnte ja niemand ahnen!
Oh nein!