HashJack: Neue Cyberattacke bedroht KI-Assistenten in Windows 11

Eine ausgeklügelte Angriffsmethode hebelt KI-Browserhilfen aus – darunter Microsofts Copilot. Die Lücke zeigt: Je intelligenter die Assistenten, desto größer die Angriffsfläche.

Sicherheitsforscher von Cato Networks haben am 25. November eine kritische Schwachstelle enthüllt, die KI-Agenten wie Microsoft Copilot, Google Gemini und Perplexity manipulieren kann. Die “HashJack” getaufte Attacke nutzt einen blinden Fleck in der Art, wie künstliche Intelligenz Webinhalte verarbeitet – und macht aus vertrauenswürdigen Websites unwissentlich Waffen.

Besonders brisant: Die Schwachstelle trifft Windows 11 in einer Phase, in der Microsoft massiv auf “agentische” KI-Funktionen setzt. Also auf Assistenten, die nicht nur Fragen beantworten, sondern aktiv im System agieren können. Was nach Fortschritt klingt, entpuppt sich als Sicherheitsrisiko.

Viele Windows-Nutzer übersehen beim Upgrade auf Windows 11 wichtige Sicherheitseinstellungen – gerade wenn neue “agentische” Funktionen aktiviert werden. Der kostenlose Gratis-Report “Windows 11 Komplettpaket” zeigt Schritt für Schritt, wie Sie Windows 11 sicher installieren, Daten und Programme übernehmen und welche Voreinstellungen Sie zum Schutz vor missbräuchlichen KI-Aktionen setzen sollten. Inklusive praktischer Checkliste und Screenshots für einfache Umsetzung. Jetzt kostenlosen Windows-11-Report sichern

Der Trick mit dem Rautezeichen

Die Attacke ist so raffiniert wie simpel. Angreifer verstecken schädliche Befehle im URL-Fragment – jenem Teil einer Webadresse, der nach dem #-Symbol erscheint. Browser nutzen diese Fragmente normalerweise nur, um zu bestimmten Abschnitten einer Seite zu springen. Das Entscheidende: Dieser URL-Teil wird oft nur lokal verarbeitet und nie an den Webserver übertragen.

Genau hier liegt der Haken. Wenn ein KI-Agent wie Copilot eine Seite analysiert, liest er die komplette URL – inklusive des versteckten Schadcodes im Fragment. Die Folge: Der Assistent führt unbemerkt Anweisungen aus, die der Nutzer nie erteilt hat.

“Diese Entdeckung ist besonders gefährlich, weil sie legitime Websites über ihre URLs bewaffnet”, erklärt Vitaly Simonovich von Cato Networks. “Nutzer sehen eine vertrauenswürdige Seite, vertrauen ihrem Browser und damit auch der Ausgabe des KI-Assistenten.”

Das Perfide: Es handelt sich um eine Art “Drive-by”-Angriff. Ein einziger Klick auf einen präparierten Link genügt, und die KI könnte sensible Daten abgreifen, Schadsoftware empfehlen oder überzeugende Phishing-Inhalte generieren.

Microsoft reagiert – die Branche zögert

Microsoft hat nach der Enthüllung schnell gehandelt und Schutzmaßnahmen in Copilot implementiert. “Die Verteidigung gegen indirekte Prompt-Injection-Angriffe ist keine einmalige technische Herausforderung, sondern eine fortlaufende Verpflichtung”, teilte das Unternehmen mit.

Auch Perplexity schloss die Lücke umgehend. Bei Google hingegen herrscht eine andere Sichtweise: Der Konzern stufte das Verhalten in seinem Gemini-Assistenten als “beabsichtigt” ein. Eine bemerkenswerte Diskrepanz, die zeigt, wie unterschiedlich Tech-Giganten die Sicherheitsgrenzen ihrer KI-Systeme definieren.

Bereits Mitte November hatte Microsoft vor den Risiken seiner neuen “agentischen” Funktionen in Windows 11 gewarnt. In einem Support-Dokument beschrieb das Unternehmen sogenannte “Cross-Prompt-Injection”-Gefahren (XPIA): Autonome KI-Agenten mit Dateisystemzugriff könnten dazu verleitet werden, Malware zu installieren oder Dateien zu manipulieren. Konsequenz: Diese fortgeschrittenen Funktionen bleiben in aktuellen Windows-Insider-Builds standardmäßig deaktiviert.

Ein schwieriger Monat für KI-Sicherheit

HashJack ist nur die Spitze des Eisbergs. Bereits am 11. November veröffentlichte Microsoft Sicherheitsupdates für CVE-2025-62222 und CVE-2025-62449 – zwei hochkritische Schwachstellen in Visual Studio Code Copilot Chat und GitHub Copilot Chat. Beide hätten Angreifern erlaubt, beliebige Befehle auszuführen oder Sicherheitsfunktionen zu umgehen.

Der entscheidende Unterschied: Während die November-Patches klassische Programmfehler behoben, nutzt HashJack die grundlegende Logik aus, wie KI-Agenten mit Web-Standards interagieren. Das macht die Bedrohung schwerer erkennbar – herkömmliche Antivirensoftware versagt hier.

Wenn KI zur Marionette wird

Sicherheitsexperten schlagen Alarm. Je mehr Windows 11 zu einem “agentischen Betriebssystem” wird – in dem KI aktiv Dateien verwaltet, E-Mails verschickt und Apps steuert –, desto explosionsartiger wächst die Angriffsfläche.

“Der HashJack-Angriff ist ein Lehrbuchbeispiel dafür, warum ‘agentische’ KI so riskant ist”, sagt Dr. Elena Kovic, Cybersicherheitsanalystin aus München. “Wenn Sie einer KI erlauben, in Ihrem Namen zu handeln, vertrauen Sie darauf, dass sie nicht durch einen versteckten Befehl in einer URL hypnotisiert werden kann. Wir lernen gerade, dass dieses Vertrauen derzeit fehl am Platz ist.”

Das Kernproblem: Traditionelle Netzwerksicherheitstools wie Firewalls und URL-Filter ignorieren das URL-Fragment meist komplett, da es nicht zum Server übertragen wird. Eine “Sichtbarkeitslücke” entsteht, durch die schädliche Anweisungen Unternehmensschutzmechanismen umgehen und direkt im Browser oder im KI-Agenten des Betriebssystems ausgeführt werden.

Vorsicht bleibt geboten

Ende November 2025 scheint die unmittelbare Gefahr durch HashJack für Copilot-Nutzer durch Microsofts schnelles Patchen eingedämmt. Doch die zugrundeliegende Methode – lokales Browserverhalten zum Verstecken von Prompts zu nutzen – bleibt ein potentes Werkzeug für zukünftige Angriffe.

Cato Networks rät Unternehmen, ihre KI-Governance-Richtlinien zu überarbeiten. Reine Netzwerk-Inspektion reicht nicht aus. Stattdessen braucht es Endpunktsicherheit, die speziell das Verhalten von KI-Agenten überwachen kann.

Für Windows-11-Nutzer gilt: KI-Assistenten stets aktuell halten, auch bei bekannten Domains komplexe URLs kritisch prüfen und experimentelle “agentische” Funktionen bis auf Weiteres deaktiviert lassen.

“Wir befinden uns noch am Anfang der KI-Sicherheit”, so Kovic. “Wir werden mehr dieser logikbasierten Angriffe sehen, bevor die Branche einen Standard für sichere KI-Interaktion etabliert.”

PS: Sie nutzen Windows 11 und wollen Risiken wie HashJack aktiv vermeiden? Der kostenlose Gratis-Report “Windows 11 Komplettpaket” erklärt nicht nur, wie der Umstieg gelingt, sondern listet auch konkrete Schutzmaßnahmen gegen versteckte Prompt-Injection-Angriffe (z. B. empfohlene Update- und Datenschutzeinstellungen). Ideal für alle, die Windows 11 sicher einrichten und experimentelle KI-Funktionen kontrolliert nutzen möchten. Gratis-Report jetzt anfordern und Windows-PCs sicher einrichten