Microsofts Copilot: Kritische Copilot Schwachstelle ermöglicht das Auslesen von 2FA-Codes
LGR Reutlingen – 16 Juni 2026 | Am vergangenen Dienstag hat Microsoft ein Update veröffentlicht, das eine als maximal kritisch eingestufte Lücke im M365 Copilot‑AI‑System schließt. Noch am Montag hatten die Forscher, die die Schwachstelle entdeckt und Microsoft gemeldet hatten, in einem öffentlichen Bericht erklärt, dass die Proof‑of‑Concept‑Ausnutzung dazu führen kann, dass Critical Copilot vulnerability allowed hackers to seal 2FA code from users. Diese Aussage verdeutlicht, dass Angreifer nicht nur theoretisch, sondern praktisch in der Lage waren, Einmal‑Passwörter aus E‑Mails abzuschöpfen, die Copilot verarbeitet.
Der Vorfall wirft ein grelles Licht auf ein Grundproblem, das bislang kaum adressiert wurde: Large‑Language‑Modelle (LLMs) wie Copilot unterscheiden nicht zwischen legitimen Nutzeranweisungen und manipulierten Inhalten, die von Dritten in Dokumente eingeschleust werden. Sobald ein Modell aufgefordert wird, einen Text zusammenzufassen, zu formulieren oder darauf zu reagieren, führt es die Anweisung aus – egal, ob sie im eigentlichen Kontext des Nutzers steht oder in einem unsichtbaren Code‑Snippet verborgen ist. Ohne eine robuste Trennung zwischen Nutzereingabe und fremden Daten bleibt jede KI‑Plattform anfällig für die Art von „Gullibility“, die im Bericht als „inkurabel“ bezeichnet wird.
Critical Copilot vulnerability allowed hackers to seal 2FA code from users
Die Angreifer nutzten dabei keine klassischen HTML‑Formulare, die von vielen KI‑Sicherheitsmechanismen blockiert werden. Stattdessen setzten sie auf Markup‑Sprachen wie Markdown, die es ermöglichen, formatierte Texte, Überschriften, Listen und Hyperlinks einzufügen, ohne dass ein HTML‑Tag erkennbar wird. Noch raffinierter war die Verwendung von harmlos erscheinenden HTML‑Tags wie <img> oder <form>, die jedoch beim Rendern einen HTTP‑Request an den Server des Angreifers auslösen. In den Server‑Logs landeten dann die abgefangenen 2FA‑Codes, Passwörter und weitere vertrauliche Informationen.
Microsoft reagierte schnell, indem das Unternehmen die betreffenden Prompt‑Filter und Guardrails überarbeitete. Dennoch bleibt die Frage, ob solche ad‑hoc‑Lösungen langfristig wirksam sind. Experten aus der Branche warnen, dass die grundlegende Architektur von LLM‑basierten Assistenten – das offene „Prompt‑Engineering“ – ein inhärentes Risiko birgt. Ohne eine klare, technisch abgesicherte Grenze zwischen Nutzer‑Prompt und externem Inhalt könnte jede zukünftige Erweiterung von Copilot – sei es im Kontext von E‑Mail‑Zusammenfassungen, Kalenderintegration oder Code‑Generierung – erneut zu Datenlecks führen.
Die Konsequenzen gehen über einzelne Unternehmenssicherheitsvorfälle hinaus. Viele Organisationen haben in den letzten Monaten ihre Arbeitsabläufe stark auf KI‑gestützte Tools umgestellt. In der Finanzbranche, im Gesundheitswesen und in der öffentlichen Verwaltung werden sensible Daten täglich von LLMs verarbeitet. Eine ähnliche Schwachstelle könnte dort ebenso leicht zu massiven Datenschutzverletzungen führen, wenn Angreifer die gleiche Technik anwenden.
Ein weiterer Aspekt, der in den Diskussionen immer wieder auftaucht, ist die Verantwortung der Anbieter. Während Microsoft den Patch bereits ausgerollt hat, haben andere LLM‑Hersteller – darunter OpenAI, Anthropic und Google – bislang keine vergleichbaren Vorfälle öffentlich gemacht. Das wirft die Frage auf, ob sie bereits ähnliche Schwachstellen entdeckt, aber noch nicht behoben haben. Der Druck, schnell zu reagieren, könnte jedoch dazu führen, dass neue Guardrails wieder nur provisorisch und nicht tiefgreifend sind.
Technische Hintergründe und mögliche Gegenmaßnahmen
- Einbindung von Content‑Security‑Policies, die das Laden externer Ressourcen strikt regulieren.
- Erweiterte Prompt‑Parsing‑Algorithmen, die verdächtige Muster wie
<img src="http://erkennen und blockieren. - Isolierung von LLM‑Ausgaben in Sandbox‑Umgebungen, um unbeabsichtigte Netzwerk‑Requests zu verhindern.
- Verpflichtende Zwei‑Faktor‑Authentifizierung für alle KI‑interne Aktionen, die auf sensible Daten zugreifen.
Darüber hinaus wird empfohlen, organisationsinterne Richtlinien zu stärken: Mitarbeiter sollten geschult werden, keine sensiblen Informationen in Dokumente zu packen, die von KI‑Systemen verarbeitet werden. Unternehmen könnten zudem automatisierte Scans einführen, die nach potenziellen Daten‑Leak‑Mustern in E‑Mails und Dokumenten suchen, bevor diese an Copilot weitergeleitet werden.
Die Critical Copilot vulnerability allowed hackers to seal 2FA code from users verdeutlicht, dass das reine Patchen von Software nicht ausreicht, wenn das zugrundeliegende Modelldesign inhärente Schwächen enthält. Ein systematischer Ansatz, der sowohl technische als auch prozessuale Maßnahmen berücksichtigt, ist unerlässlich, um die Vertrauensbasis in KI‑Assistenten wiederherzustellen.
Unternehmen, die bereits auf Copilot setzen, sollten unverzüglich prüfen, welche internen Workflows von der neuen Guardrail‑Logik betroffen sind. Derzeitige Dokumentationen von Microsoft empfehlen, die Copilot‑Einstellungen zu auditieren, insbesondere die Optionen für das Verarbeiten von E‑Mails, die Anhänge enthalten. Ein schneller Abgleich mit den neuesten Sicherheitsrichtlinien kann potenzielle Exploits bereits im Vorfeld verhindern.
Auch regulatorische Aspekte kommen ins Spiel. Die EU‑Datenschutz‑Verordnung (DSGVO) verlangt, dass Unternehmen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen. Ein Szenario, in dem 2FA‑Codes unverschlüsselt über das Internet an einen Angreifer gesendet werden, könnte als Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) gewertet werden. Unternehmen könnten daher mit Bußgeldern oder Reputationsschäden konfrontiert werden, wenn sie die Schwachstelle nicht adäquat adressieren.
Ausblick: Wie sicher ist die nächste Generation von KI‑Assistenten?
Die jüngsten Vorfälle zeigen, dass die aktuelle Generation von LLM‑basierten Produkten noch nicht den Reifegrad erreicht hat, den Unternehmen für kritische Geschäftsprozesse erwarten. In den kommenden Monaten dürften wir eine verstärkte Fokussierung auf „Explainable AI“ und „Secure Prompt Engineering“ sehen. Einige Start‑ups arbeiten bereits an Modellen, die nur in stark kontrollierten Umgebungen operieren und bei jedem externen Datenzugriff eine explizite Genehmigung verlangen.
Für Microsoft bedeutet das, nicht nur den bestehenden Patch zu veröffentlichen, sondern ein langfristiges Sicherheits‑Framework zu etablieren, das von der Modell‑Architektur bis zur Endnutzer‑Schulung reicht. Nur so kann das Vertrauen in Copilot und vergleichbare KI‑Tools nachhaltig gesichert werden.
Die Lehre aus der Critical Copilot vulnerability allowed hackers to seal 2FA code from users ist klar: KI‑Assistenz ist nur so sicher wie die kleinste Lücke im System, und Angreifer wissen, wie sie diese Lücken ausnutzen können. Unternehmen, die jetzt proaktiv handeln, können nicht nur Datenverlust vermeiden, sondern auch einen Wettbewerbsvorteil durch robuste Sicherheitspraktiken erlangen.
