Eine neue Sicherheitslücke namens ‚Reprompt‘ ermöglichte es Angreifern, mit einem einzigen Klick vertrauliche Informationen aus persönlichen Microsoft-Copilot-Sitzungen zu stehlen. Die Schwachstelle, die Verbraucher betraf, ist inzwischen geschlossen.
Sicherheitsforscher von Varonis Threat Labs haben die Methode aufgedeckt, die es erlaubte, sensible Daten aus dem KI-Assistenten abzuschöpfen – ohne Plugins oder weiteres Zutun des Nutzers. Microsoft hat das Problem für den Copilot Personal in den Sicherheitsupdates vom Januar 2026 behoben. Die Unternehmensversion Microsoft 365 Copilot war nicht betroffen.
So funktionierte der tückische Angriff
Aus Sicht des Opfers war der Angriff simpel: Ein Klick auf einen präparierten, aber legitim aussehenden Microsoft-Copilot-Link genügte. Dieser konnte per Phishing-E-Mail verbreitet werden. Der Kern des Angriffs missbrauchte einen URL-Parameter („q“), der beim Laden der Seite automatisch einen Prompt ausführte und ausführte.
Diese Parameter-2-Prompt-Injection (P2P) war der unsichtbare Einstieg. Hatte das Opfer den Link angeklickt, begann die authentifizierte Copilot-Sitzung, versteckte Befehle auszuführen – ohne Wissen des Nutzers. Der KI-Assistent wurde so zum Werkzeug für den Datendiebstahl.
Viele erfolgreiche Angriffe beginnen mit einer einzigen, gut getarnten Phishing-Mail – genau wie bei ‚Reprompt‘. Ein kostenloser Anti-Phishing-Guide erklärt in vier klaren Schritten, wie Sie manipulative Links und verdächtige URL-Parameter sicher erkennen, verdächtige Prompts prüfen und laufende Sitzungen schnell beenden, bevor Daten abgeflossen sind. Mit praktischen Prüf-Listen und Übungsbeispielen für den Alltag. Jetzt Anti-Phishing-Paket herunterladen
Der Angriff kombinierte drei Techniken. Nach der initialen Injection umging er die eingebauten Datenschutzmechanismen von Copilot. Die Forscher fanden heraus: Diese Schutzmaßnahmen galten vor allem für die erste Anfrage einer Sitzung. Indem die KI angewiesen wurde, jede bösartige Aktion zweimal auszuführen, wurde die Sicherung beim zweiten Versuch umgangen.
Versteckter Kommunikationskanal mit Langzeitwirkung
Besonders gefährlich machte den Angriff seine Fähigkeit, einen persistenten und versteckten Kommunikationskanal zu einem server der Angreifer aufzubauen. Nach der Initialisierung wies der schädliche Prompt Copilot an, kontinuierlich mit diesem Server zu kommunizieren, um weitere Befehle abzurufen.
So entstand eine Kette von Anfragen, die die schrittweise und dynamische Exfiltration von Daten ermöglichte. Die eigentlichen Anweisungen steckten in der nachfolgenden Kommunikation zwischen Copilot und dem Angreifer-Server. Ein Hacker konnte seine Abfragen basierend auf ersten Antworten anpassen und nach immer sensibleren Details suchen.
Das Potenzial war enorm: Forscher demonstrierten, wie sie Zusammenfassungen kürzlich geöffneter Dateien, Standortinformationen und Details zu Urlaubsplänen extrahieren konnten.
Branchenreaktion und die Zukunft der KI-Sicherheit
Varonis meldete die Schwachstelle am 31. August 2025 an Microsoft, sodass das Unternehmen Zeit für eine Lösung hatte. Microsoft bestätigte den Bericht und rollte Schutzmaßnahmen im Patch-Tuesday-Update im Januar 2026 aus. Bisher gibt es keine Hinweise auf aktive Ausnutzung der Lücke.
Die Enthüllung von ‚Reprompt‘ ist eine kritische Erinnerung an die Sicherheitsherausforderungen von KI-Systemen. Das Grundproblem der Prompt-Injection, bei der eine KI vertrauenswürdige Nutzereingaben nicht von externen Daten unterscheiden kann, bleibt eine große Hürde für die Branche.
Für Nutzer unterstreicht der Vorfall, wie wichtig Vorsicht beim Klicken auf Links ist – selbst wenn sie zu legitimen Seiten zu führen scheinen. Experten raten, automatisch ausgefüllte Prompts in KI-Tools vor der Ausführung zu prüfen und Sitzungen sofort zu schließen, wenn der Assistent sich unerwartet verhält.
PS: Nutzen Sie Copilot oder andere KI-Assistenten? Dieser kostenlose Anti-Phishing-Report bietet konkrete Prüflisten, Beispiele manipulativer URL-Parameter und Schritt-für-Schritt-Anleitungen, wie Sie laufende Exfiltrationskanäle erkennen und Sitzungen sicher beenden. Ideal für Privatnutzer und IT-Verantwortliche, die sich gegen gezielte Phishing- und Prompt-Injection-Angriffe schützen wollen. Anti-Phishing-Report jetzt anfordern
