Ex-Microsoft-Mitarbeiter: Dieser Dienst hat 15 Sicherheitslücken

Copilot bietet Nutzern viele KI-Funktionen und ist wohl das aktuell wichtigste Projekt für Microsoft. Doch der Dienst hat einige gefährliche Sicherheitsprobleme, wie ein Ex-Microsoft-Mitarbeiter zeigt.

Kaum ein Dienst wird von Microsoft derzeit so stark beworben wie Copilot. Der KI-Assistent ist auf vielen Plattformen verfügbar und wird teils ungefragt bei Windows-Nutzern installiert.

Doch das Feature könnte zum echten Sicherheitsproblem für Nutzer werden: Ein ehemaliger Mitarbeiter des Konzerns hat nun 15 Schwachstellen aufgezeigt, die Copilot zum Einfallstor für Bedrohungen machen und Hackern erlauben, die KI-Funktionen für Ihre Zwecke auszunutzen.

Download: Microsoft Copilot für Windows

Microsoft Copilot 1.0.4.0

Den Copilot darf Microsoft in Europa nicht zusammen mit Windows verteilen. Jetzt steht die neue Copilot-App zum Download bereit – auch für Nutzer in Deutschland.
CHIP Bewertung: Befriedigend zum Download

Ex-Mitarbeiter legt 15 Schwachstellen in Copilot offen

Ein iPhone mit Microsoft Copilot
Ein iPhone mit Microsoft Copilot

Michael Bargury, ehemaliger IT-Sicherheitsarchitekt bei Microsoft, hat auf der Cybersicherheitskonferenz "Black Hat USA 2024" eine Präsentation mit dem Titel "15 Wege, deinen Copilot zu brechen" gehalten. Dabei demonstrierte er, wie Cyberkriminelle mit vergleichsweise einfachen Mitteln das Sicherheitsgerüst von Copilot durchbrechen und die KI-Fähigkeiten für Ihre Zwecke ausnutzen können.

Der Fokus liegt dabei auf der Copilot-Integration in den Office-Anwendungen des Abo-Dienstes Microsoft 365. Wie Windows Central berichtet, konnte Bargury die Mechanismen zum Schutz der Nutzerdaten umgehen. Mit einem sogenannten Spear-Phishing-Angriff gelang es dem IT-Experten, auf interne E-Mails zuzugreifen. Copilot ließe sich so etwa von Hackern ausnutzen, um authentische Massen-E-Mails zu verschicken, die den Schreibstil des Autors nachahmen.

Per Prompts können Hacker außerdem herausfinden, mit wem und über welche Themen die Person kürzlich geschrieben hat, und ihre Antwort entsprechend anpassen. Das zeigt, wie gefährlich Phishing-Angriffe durch KI werden können

Mehr zum Thema

Copilot ermöglicht gefährliche Phishing-Attacken

Microsoft-CEO Nadella vor dem Copilot Logo
Microsoft-CEO Nadella vor dem Copilot Logo

Auch die Plattform "Microsoft Copilot Studio", mit der Unternehmen eigene KI-Bots programmieren können, habe große Schwachstellen. Laut Bargury ließen sich die angepassten Copiloten auf einfache Weise ausnutzen, um sensible Daten zum Unternehmen und Mitarbeitern, wie etwa Gehälter zu erlangen. Daten-Leaks würden damit nicht nur möglich, sondern wahrscheinlich. "Microsoft versucht es, aber wenn wir ehrlich sind, wissen wir nicht, wie man sichere KI-Anwendungen erstellt.", so das Fazit von Michael Bargury.

Microsoft steht bereits in der Kritik, die Datensicherheit bei KI-Anwendungen nicht ernst genug zu nehmen. Das umstrittene Feature "Windows Recall" wurde kurz vor Release zurückgezogen. Der Konzern hat außerdem angekündigt, vorerst keine neuen Copilot-Features zu bringen und stattdessen an der Verbesserung des Dienstes auf Basis von Feedback zu arbeiten. Sicherheit sei die oberste Priorität, sagte der CEO Satya Nadella kürzlich bei der Vorstellung des Quartalsberichts.


Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.