Echoleak in M365 Copilot: Warum KI-Agenten sensible Daten preisgeben können
KI-Agenten wie Microsofts Copilot können durch ihre Software-Architektur enorme Sicherheitslücken generieren. (Foto: Primakov/Shutterstock)
Microsoft hat eine kritische Sicherheitslücke in M365 Copilot geschlossen, die es dem KI-Agenten ermöglichte, ohne Nutzerinteraktion und Mausklick vertrauliche Unternehmensdaten preiszugeben.
Der Fehler entstand durch die Fähigkeit des KI-Agenten, speziell formulierte E-Mails automatisches auszulesen und zu verarbeiten. Sicherheitsforscher von Aim Security entdeckten die als Echoleak bezeichnete Schwachstelle. Um solche Datenlecks künftig zu vermeiden, müssten KI-Agenten grundsätzlich anders arbeiten.
Echoleak: Phishing ohne Mausklick
Copilot basiert auf GPT-4 und ist tief in Office-Anwendungen wie Word, Excel, PowerPoint, Outlook und Teams integriert. Die Software kann innerhalb eines Unternehmensnetzwerks auf persönliche und teils sensible Daten zugreifen.
Die Analyse durch Aim Security begann im Januar 2025. Die Forscher wiesen nach, dass Copilot E-Mails selbstständig liest und Anweisungen interpretiert. Durch gezielt formulierte Nachrichten mit speziell ausgeprägten Links und unauffälligen Anweisungen ließ sich der Agent dazu bringen, Daten aus internen Systemen zu extrahieren. Dabei musste kein angegriffener Nutzer aktiv etwas klicken.
Anders als bei herkömmlichen Phishing-Angriffen war kein Mausklick erforderlich, da die KI die Inhalte automatisch verarbeitete. Obwohl das Zugriffssystem vorsieht, dass jeder Mitarbeiter nur auf eigene Daten zugreift, können auch diese sensible Informationen umfassen und so Angreifern Einblicke ermöglichen.
Microsofts Reaktion auf die Lücke
Microsoft benötigte rund fünf Monate, um das Datenleck zu stopfen. Die Schwachstelle wurde unter CVE-2025-32711 veröffentlicht und im Mai 2025 mit einem Security-Update geschlossen. Nutzer von M365 Copilot müssen nichts weiter unternehmen.
Laut Microsoft diente die Veröffentlichung von Informationen über den Vorfall vor allem der Transparenz. Die lange Reaktionszeit dürfte wahrscheinlich an der neuartigen Natur dieser Lücke gelegen haben.
Microsoft hat inzwischen zusätzliche tiefgreifende Verteidigungsmaßnahmen angekündigt, um die Sicherheit weiter zu stärken.
Fundamentales Risiko von KI-Agenten
Adir Gruss, Mitgründer und Technikvorstand von Aim Security, warnt im Magazin Fortune, dass Echoleak auch andere KI-Agenten betreffen könnte, etwa Anthropics MCP oder Salesforce Agentforce.
Er sieht den grundlegenden Designfehler darin, dass Agenten vertrauenswürdige Befehle und unzuverlässige Daten im selben „Denkprozess“ mischen, was Manipulation erleichtert. Er zieht einen Vergleich zu Software-Sicherheitslücken der 1990er-Jahre.
Unternehmen, die KI-Agenten integrieren, sollten Architekturen mit klarer Trennung zwischen vertrauenswürdigen Befehlen und externen Daten implementieren sowie strikte Validierung und Least-Privilege-Prinzipien einführen, um Manipulation zu erschweren.
Die schönsten Stockfoto-Hacker:
