Reprompt-Angriffe nehmen Microsoft Copilot ins Visier
Mit der Reprompt-Angriffsmethode können Cyberkriminelle in Microsoft-Copilot-Sitzungen von Usern eindringen. Die Angreifenden können Daten stehlen und bösartige Befehle ausführen, auch nach dem Schliessen des Copilot-Fensters durch das Opfer. Microsoft hat die Schwachstelle inzwischen behoben.
Cyberkriminelle könnten mit sogenannten Reprompt-Angriffen über Microsoft-Copilot-Sitzungen heikle Daten abgreifen. Ein Klick auf den falschen Link genügt bereits, um den Kriminellen die Türen zum Gerät zu öffnen, wie "Varonis" in einem Blogbeitrag schreibt.
Der manipulierte Link führe auf Copilot, der ohne Interaktion mit dem Chat einen Befehl über den Q-Parameter in der URL ausführe. Durch die Double-Request-Technik (das einfache verdoppeln bösartiger Prompts) würden Schutzmassnahmen von Copilot umgangen und mit der Chain-Request-Technik könnten Copilot weitere Anweisungen vom Server des Angreifenden gegeben werden, schreibt "Varonis" weiter.
Solche Angriffe wären laut dem Cybersicherheitsanbieter heimlich und skalierbar gewesen. Der Microsoft-KI-Assistent gab die Daten nach und nach Preis, sodass potenzielle Angreifende mit jeder Antwort neue böswillige Anweisungen generieren konnten. Weil die Befehle nach dem ersten Prompt vom Server der Angreifenden kommen, sei es nicht möglich, anhand des ersten manipulativen Prompts festzustellen, welche Daten gestohlen wurden. Damit hätten auch clientseitige Tools den Datenabfluss nicht erkennen können.
Das Angriffsszenario nutzte Standardfunktionen und bis auf das Klicken auf den Link waren gemäss dem Blog keine weiteren Benutzerinteraktionen nötig. Selbst nach dem Schliessen vom Copilot-Chat durch das Opfer hätten die Angreifenden weiterhin Zugriff auf das den KI-Assistenten gehabt.
Microsoft hat ein Sicherheitsupdate veröffentlicht, um dieses Problem zu lösen, wie "Varonis" schreibt. Wie es weiter heisst, betraf die Schwachstelle ausschlieslich Copilot Personal. Unternehmenskunden, die Microsoft 365 Copilot nutzen, seien von der Schwachstelle nicht betroffen.
Auch Anthropic hatte bereits mit manipulierten KI-Agenten zu tun. Über das KI-Tool Claude Code wurden Cyberangriffe mit minimaler menschlicher Beteiligung durchgeführt, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Cyberangriffe in 2026 - automatisiert, identitätsbasiert und KI-beschleunigt
Heimliche Spyware Predator macht iPhones zu ihren Augen und Ohren
Init7 streitet mit Behörden um DNS-Sperren
Best of Swiss Web 2026: Das war der Jurytag
Petition fordert stärkere Plattformregulierung gegen betrügerische Werbung
Update: Microsoft erweitert Sovereign-Cloud-Angebot mit Offline-Modus
Betrüger zieht Opfer um 500'000 Franken über den Tisch
Typisch Männerfreundschaften
Wo sind die 17 Millionen Walhai-Babys?
