Microsoft hat eine Sicherheitslücke in seinem Copilot KI-Assistenten behoben, die es Angreifern ermöglichte, sensible Nutzerdaten durch einen einzigen Klick auf einen scheinbar harmlosen Link zu extrahieren. Sicherheitsforscher von Varonis entdeckten die Schwachstelle und demonstrierten, wie ein mehrstufiger Angriff Informationen wie den Namen, den Standort und Details aus dem Copilot-Chatverlauf eines Benutzers exfiltrieren konnte.

Der Angriff, der durch das Anklicken des Links durch den Benutzer initiiert wurde, lief auch nach dem Schließen des Copilot-Chatfensters weiter und erforderte keine weitere Interaktion. Laut Varonis umging der Exploit die Sicherheitskontrollen für Unternehmensendpunkte und die Erkennungsmechanismen, die typischerweise von Endpunktschutzanwendungen eingesetzt werden. "Sobald wir diesen Link mit diesem bösartigen Prompt bereitstellen, muss der Benutzer nur noch auf den Link klicken, und die bösartige Aufgabe wird sofort ausgeführt", sagte Dolev Taler, ein Sicherheitsforscher bei Varonis, in einer Erklärung gegenüber Ars Technica. "Selbst wenn der Benutzer nur auf den Link klickt und sofort den Tab des Copilot-Chats schließt, funktioniert der Exploit weiterhin."

Die Schwachstelle verdeutlicht die inhärenten Risiken, die mit großen Sprachmodellen (LLMs) wie Copilot verbunden sind, die zunehmend in alltägliche Anwendungen integriert werden. LLMs lernen aus riesigen Datensätzen und können menschenähnlichen Text generieren, aber ihre Komplexität macht sie auch anfällig für unvorhergesehene Sicherheitslücken. Dieser Vorfall unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und kontinuierlicher Überwachung, um Benutzerdaten innerhalb von KI-gestützten Plattformen zu schützen.

Der Angriffsvektor nutzte eine Schwäche in der Art und Weise, wie Copilot Anweisungen verarbeitete und ausführte, die in den Link eingebettet waren. Durch die Erstellung eines bösartigen Prompts, der in eine legitime Copilot-URL eingebettet war, konnten die Forscher eine Kette von Ereignissen auslösen, die zur Datenexfiltration führten. Diese Art von Angriff, bekannt als Prompt-Injection-Angriff, ist ein wachsendes Problem im Bereich der KI-Sicherheit. Prompt-Injection tritt auf, wenn ein Angreifer die Eingabe in ein KI-Modell manipuliert, um es zu veranlassen, unbeabsichtigte Aktionen auszuführen, wie z. B. die Offenlegung sensibler Informationen oder die Ausführung von bösartigem Code.

Die Auswirkungen dieser Schwachstelle gehen über einzelne Benutzer hinaus. In Unternehmensumgebungen, in denen Copilot für den Zugriff auf und die Verarbeitung sensibler Geschäftsdaten verwendet wird, könnte ein erfolgreicher Angriff zu erheblichen Datenschutzverletzungen und finanziellen Verlusten führen. Der Vorfall wirft auch umfassendere Fragen zur Sicherheit und zum Datenschutz von KI-gestützten Assistenten sowie zur Notwendigkeit größerer Transparenz und Rechenschaftspflicht bei ihrer Entwicklung und Bereitstellung auf.

Microsoft hat einen Patch veröffentlicht, um die Schwachstelle zu beheben, und Benutzern wird empfohlen, ihre Copilot-Installationen auf die neueste Version zu aktualisieren. Das Unternehmen arbeitet auch daran, die Sicherheit seiner KI-Plattformen zu verbessern und neue Methoden zur Erkennung und Verhinderung von Prompt-Injection-Angriffen zu entwickeln. Da sich die KI-Technologie ständig weiterentwickelt, ist es entscheidend, dass Entwickler und Sicherheitsforscher zusammenarbeiten, um potenzielle Schwachstellen zu identifizieren und zu beheben, um sicherzustellen, dass diese leistungsstarken Tools sicher und verantwortungsvoll eingesetzt werden. Der Vorfall dient als Erinnerung daran, dass selbst scheinbar einfache Interaktionen mit KI-Systemen erhebliche Sicherheitsauswirkungen haben können und dass Wachsamkeit unerlässlich ist, um Benutzerdaten im Zeitalter der künstlichen Intelligenz zu schützen.