![\"Copilot\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/04\/image-4.png\" "\\"Edge\\"")
Microsoft setzt bei Copilot zwar Sicherheitsmechanismen ein, um Datenlecks zu verhindern. Diese Sicherheitsvorkehrungen versagten, als Sicherheitsforscher von Varonis einfach zweimal (daher der Name Reprompt) nach Daten fragten. Ein Angreifer behielt auch nach dem Schlie\u00dfen des Assistenten die Kontrolle und konnte den AI-Chat nutzen, um unbemerkt pers\u00f6nliche Daten zu stehlen. Die Schwachstelle ist inzwischen geschlossen.<\/p>\n
<\/p>\n
Microsoft quetscht ja in allen seinen Produkten, von Windows bis zu Office sein Copilot als \"AI-L\u00f6sung\" rein, koste es was es wolle. Und es kostet – Sicherheit. Sicherheitsanbieter Varonis hat zum 14.1.2026 einen Reprompt-Angriff auf Microsofts Copilot offen gelegt, der es in sich hat.<\/p>\n
Copilot ist ja mit dem pers\u00f6nlichen Konto eines Benutzers \"verbunden\" und fungiert dort als pers\u00f6nlicher KI-Assistent. Copilot ist in Windows, im Edge-Browser (demn\u00e4chst im Windows Explorer), in den Office-Anwendungen etc. integriert. Damit hat Copilot Zugriff auf alles, was der Benutzer \"sieht und tut\".<\/p>\n
Ein gefundenes Fressen f\u00fcr Angreifer, wenn es gelingt, Copilot f\u00fcr eigene Zwecke einzuspannen und anzuweisen, pers\u00f6nliche Daten des Nutzers zu liefern. Microsoft hat \"nat\u00fcrlich umfangreiche\" Sicherheitsma\u00dfnahmen in seine Software integriert und spricht in Marketing-Material von \"guard rails\" und \"data bondaries\", und dass der Nutzer die Kontrolle habe.<\/p>\n
Sicherheitsforscher von Varonis haben diese ganzen Sicherheitsma\u00dfnahmen mit einem simplen Trick pulverisiert, indem Sie eine Anfrage einfach zwei Mal (als Reprompt) an Copilot stellten. Die erste Anfrage wurde durch die eingebauten Sicherheitsmechanismen erkannt und abgewiesen. Bei der zweiten Anfrage erinnerte Copilot sich wohl, diese bereits \u00fcberpr\u00fcft zu haben und arbeitete alles ungepr\u00fcft ab.<\/p>\n
Der\u00a0Reprompt-Angriff bietet Angreifern einen unsichtbaren Einstiegspunkt, um eine \"Daten-Exfiltrationskette\" aufzubauen, und die Sicherheitskontrollen von Unternehmen vollst\u00e4ndig zu umgehen. Der Angreifer kann dann mit Hilfe von Copilot mit nur \"einem Klick\" ohne Erkennung auf sensible Daten\u00a0 eines Unternehmens zugreifen.\u00a0Reprompt wurde erstmals in Microsoft Copilot Personal entdeckt und ist aus mehreren Gr\u00fcnden wichtig bzw. aus Sicherheitsaspekten ein Desaster. Varonis fasst die Kernpunkte so zusammen:<\/p>\n Reprompt unterscheidet sich grundlegend von KI-Schwachstellen wie EchoLeak (siehe CheckPoint-Analyse der 0-Click EchoLeak-Schwachstelle in Microsoft Copilot<\/a>), da es keine Benutzereingaben, installierte Plugins oder aktivierte Konnektoren erfordert. Die Sicherheitsforscher mussten f\u00fcr die Angriffsmethode lediglich einen b\u00f6sartigen Prompt in einer legitimen URL unterbringen. Klickt der Nutzer auf diese URL nimmt das Unheil seinen Lauf und der Copilot dreht wild.<\/p>\n Mit dem in der URL eingebetteten b\u00f6sartigen Prompt kann ein Angreifer alle Schutzma\u00dfnahmen von Copilot umgehen und den Zugriff auf die LLM-Sitzung seines Opfers aufrechterhalten. Die Details lassen sich im Varonis-Artikel\u00a0Reprompt: The Single-Click Microsoft Copilot Attack that Silently Steals Your Personal Data<\/a> nachlesen. Diese Schwachstelle ist zwar nach einem Hinweis von Varonis durch Microsoft geschlossen worden. Aber wie viele \u00e4hnliche Schwachstellen lauern noch in Copilot? Mir wird schlecht, wenn ich sehe, wie unverantwortlich die Protagonisten der KI-Blase mit der Thematik umgehen. Mit KI werden eh neue Sicherheitsl\u00f6cher auf eh schon l\u00f6chrigen Systemen aufgeriffen. Oder wie seht ihr das?<\/p>\n \u00c4hnliche Artikel:<\/strong> Desaster: Sicherheitsvorfall KI-Anbieter localmind.ai<\/a>\u00a0\u2013 Teil 1 Microsoft setzt bei Copilot zwar Sicherheitsmechanismen ein, um Datenlecks zu verhindern. Diese Sicherheitsvorkehrungen versagten, als Sicherheitsforscher von Varonis einfach zweimal (daher der Name Reprompt) nach Daten fragten. Ein Angreifer behielt auch nach dem Schlie\u00dfen des Assistenten die Kontrolle und konnte … Weiterlesen ![\"Copilot](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/image-75.png\")
<\/a>Quelle: Varonis<\/p>\n\n
<\/a>
\nReprompt Angriff; Quelle: Varonis<\/p>\n
\nEchoLeak: Erste AI 0-Click-Sicherheitsl\u00fccke in Microsoft Copilot<\/a>
\nCheckPoint-Analyse der 0-Click EchoLeak-Schwachstelle in Microsoft Copilot<\/a>
\nCopilot+AI: Recall-Sicherheitsdesaster- KI-gest\u00fctzter Diebstahl<\/a>
\nMicrosofts Sicherheitsrisiko Recall, OpenAI und weitere KI-Informationssplitter \u2013 Teil 2<\/a>
\nMicrosoft \u00fcbt sich in Schadensbegrenzung bei Kongress-Anh\u00f6rung (13.6.2024): Sicherheit habe Vorrang vor KI<\/a>
\nKI-Sicherheit: Die spezielle Seite der neuen Technologie<\/a>
\nGartner warnt: Blockt aus Sicherheitsgr\u00fcnden alle KI-Browser auf absehbare Zeit<\/a>
\nOpenAI stellt ChatGPT Agent vor; Sam Altman warnt vor Risiken<\/a>
\nMicrosoft, Office und der Brass mit KI und CoPilot-G\u00e4ngelung \u2013 Teil I<\/a>
\nMicrosoft, Office und der Brass mit KI und CoPilot-G\u00e4ngelung \u2013 Teil II<\/a><\/p>\n
\nErg\u00e4nzung KI-Desaster bei Localmind GmbH und Morgendigital GmbH<\/a>\u00a0\u2013 Teil 2
\nlocalmind.ai: KI-Sicherheitsvorfall, es ist noch nicht vorbei\u00a0<\/a>\u2013 Teil 3
\nVibe Coding-Fail: Drama in Brasilien, Dating-App f\u00fcr Lesben legt Daten offen<\/a>
\nVibe Coding war gestern, Microsoft macht \"Vibe working\" in Office<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"